コマンドラインのオプションが表示されますね。。実行されている. ps1 が分かるかも。
あとはプロファイルに Start-Transcript (Microsoft.PowerShell.Host) - PowerShell | Microsoft Learn を構成して実行履歴を記録するとか。
Start-Transcript (Microsoft.PowerShell.Host) - PowerShell | Microsoft Learn
Powershellのnoninteractivemodeで何が動いているのか確認したい。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
Windows11Pro22H2を使用していますが、Powershellのnoninteractiveモードで動くコードの記録方法がわかりません。
知りたい理由は、誰かがネット経由で勝手にnoninteractiveモードでPowershellを実行するようですが、セキュリティソフトがPowershellに反応しても何のコードを実行されているのかわかりません。
Powershellがnoninteractivemodeで動いているという記録しか出さないので、その先何をしているのか分からないのです。
よろしくお願いします。
家庭向け Windows | Windows 11 | セキュリティとプライバシー
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
質問作成者が受け入れた回答
質問作成者が受け入れた回答
Anonymous
Eventlogs について - PowerShell | Microsoft Learn
実行ポリシーを変更するなどして、PowerShellの実行状況をイベントログで確認すればいい。
-
Hebikuzure aka Murachi Akira 325.7K 評価のポイント MVP ボランティア モデレーター2023-11-12T03:22:58+00:00 タスクマネージャーやProcessExplorerを見ても、powershell.exeが起動している事は確認出来てもどんなコマンドが実行されているかわかりません。 見方があるのでしょうか?
タスクマネージャーであれば [詳細] ページで列見出しを右クリック、「列の選択」から「コマンドライン」にチェックを入れる。
Process Explorer も同様。
-
Anonymous
2023-11-11T21:44:13+00:00 タスクマネージャーやProcessExplorerを見ても、powershell.exeが起動している事は確認出来てもどんなコマンドが実行されているかわかりません。 見方があるのでしょうか?
グループポリシーの編集で"PowerShellトランスクリプションを有効にする"を有効にして呼び出しヘッダを含めるにチェックしました。ですが、PowerShellを自分で実行したときにnoninteractiveを付けて実行した時のコマンドの履歴が残っておりましたが、AMDが実行する物は履歴が残っておりません。AMDの物は、noninteractiveを付けていない物は記録されていると思いますが、付いている物は記録されないと思います。物によって記録されるものとされないものがあるのでしょうか。
-
Hebikuzure aka Murachi Akira 325.7K 評価のポイント MVP ボランティア モデレーター
2023-11-11T03:05:19+00:00 タスクマネージャーや Process Explorer などを使って、当該の PowerShell プロセスの起動コマンドラインを確認してください。