Durante a análise de uma máquina aparentemente inativa, o perito observa que um processo é criado repetidamente sem atividade externa. Para confirmar o evento, ele precisa consultar o log do Windows que registra especificamente a criação de novos processos.
Esse log é o
System
Application
Security — Event ID 4688
Setup
Forwarded Events