Проблема: Необходимо ретроспективно выявить процессы, исполнявшиеся в фоновом режиме (без GUI и/или как системные службы), для анализа подозрительной активности или восстановления хронологии событий. Стандартный «Диспетчер задач» (TaskMgr) показывает только текущее состояние, что бесполезно для форензики.

Причины необходимости глубокого анализа:
1. Вредоносное ПО (malware) часто маскируется под легитимные службы (svchost.exe, services.exe) или использует технику «Process Hollowing» (запуск в контексте доверенного процесса).
2. Требуется детектирование персистентности (механизмов автозапуска) и скрытых C2-соединений.
3. Инцидент уже произошёл, и нужно восстановить цепочку событий до и после компрометации.

Решение (инструменты и команды для Windows Forensic):

Для живой системы (получение артефактов до выключения) и мёртвой форензики (образ диска) используйте следующий арсенал.

1. Просмотр фоновых процессов и служб в реальном времени (для сбора «живых» данных):
PowerShell (with rootkit evasion):
powershell
# Вывод всех процессов с PID, именем, путём к файлу и временем запуска

    Get-Process | Select-Object Id, ProcessName, Path, StartTime | Format-Table -AutoSize

Tasklist (через cmd с повышенными правами):
cmd
# Показывает все процессы, включая скрытые (через /SVC)

    tasklist /SVC /FI "STATUS eq running"

WMIC (устаревший, но всё ещё работает для legacy-систем):
cmd
wmic process get ProcessId,Name,ExecutablePath,CreationDate /format:list


2. Детектирование скрытых процессов и корневых комплектов (Rootkit):
Sysinternals Suite (от Microsoft, легальный):
Process Explorer: Замените Taskmgr.exe → `procexp.exe`. Включите просмотр строк и DLL (View → Show Lower Pane). Фильтр: `Ctrl+L`. Ищите процессы с пустым описанием, цифровой подписью «Не проверена» или запущенные из папок Temp.
Autoruns (`autorunsc.exe -a`): Выявляет скрытые службы, запланированные задачи и драйверы, запускаемые в фоне до входа пользователя.

3. Просмотр истории процессов на заблокированном образе (Forensic Static Analysis):
Prefetch (`.pf` files):
`C:\Windows\Prefetch`
Анализ утилитами (PECmd от Eric Zimmerman или WinPrefetchView). Команда:
cmd
PECmd.exe -d C:\PathToImage\Windows\Prefetch --csv output.csv

Вы получите временную шкалу (First Run, Last Run, Run Count) фоновых процессов, включая те, что выполнялись менее 10 секунд (часто указывает на пентест-утилиты или инжекты).
Event Logs (Logon Session / Process Creation):
EID 4688 (Security Log): Создание нового процесса. Включает CommandLine, Creator Process ID, Token Elevation Type.
EID 4634 / 4647: Завершение процесса (опционально, если включена аудита завершения).
Sysmon (Event ID 1): Детальнее, чем стандартный Windows Security Log. Включает Hashes, Image Path, Parent Image.
Команда извлечения (через wevtutil или LogParser):
cmd
wevtutil epl Security C:\output.evtx /q:"[System/EventID=4688]"

Registry (HKLM\SYSTEM\CurrentControlSet\Services):
Показывает все зарегистрированные службы (включая остановленные). Инструмент: `RegRipper` (плагин `services`) или `RECmd`.
Особое внимание: `ImagePath` указывающий на `%temp%`, `c:\users\public\`, или наличие пробелов в пути (обход UAC).

4. Анализ сетевой активности, инициированной фоновыми процессами:
Netstat (live):
cmd
netstat -anob 5 > live_connections.txt

MFT (Master File Table): Самый детальный источник. Показывает каждое обращение к файлу на диске (Read, Write, Create, Delete). Используйте `MFTECmd`:
cmd
MFTECmd.exe -f C:\PathToImage\$MFT --csv output_mft.csv

Затем отфильтруйте по колонке `FileName` на `exe`, `dll`, `sys` и по времени (`LastModified` / `LastAccess`).

Резюме для быстрого ответа:
Если нужно просто узнать, что стартовало в фоне — смотрите Prefetch и Security Log (EID 4688). Если нужно выявить скрытую активность — используйте Autoruns и Process Explorer на снимке системы. Для максимальной глубины — парсите MFT и USN Journal**.