有没有什么方法得到系统中某个进程启动的消息?是否可行?解决方案
有没有什么方法得到系统中某个进程启动的消息?是否可行?
谢谢了先
------解决方案--------------------
全局钩子
------解决方案--------------------
还有一些办法,不过都比较难,比如任何进程的启动都要调用CreateProcess,你用API HOOK钩住这个API就很容易处理这个问题了,不过API HOOK很麻烦,而且也容易出错.
------解决方案--------------------
我忘了具体细节,
只是知道全局钩子,对createprocess 和createprocessEx
挂接可以实现。
------解决方案--------------------
首先找到CreateProcessCreateProcessAsUser 、CreateProcessWithLogonW
这两个函数在哪个DLL中,应该是在Kernel32.dll中,然后挂接这几个创建
进程的函数,具体挂接方法可以使用《windows核心指南》也好像叫《windows
核心编程》第22章提供的CAIPHook类对这3个API实现挂接。原理也有和不错哦。
------解决方案--------------------
API HOOK很麻烦,还有一种方法,你做一个全局钩子,不管钩什么,因为全局钩子会钩住所有线程,所以你的监控进程运行时也会被钩入,在全局钩子的DLL的入口点中判断是不是你要监控的进程
------解决方案--------------------
这个wmi很容易实现,用__instancecreationevent 就可以
谢谢了先
------解决方案--------------------
全局钩子
------解决方案--------------------
还有一些办法,不过都比较难,比如任何进程的启动都要调用CreateProcess,你用API HOOK钩住这个API就很容易处理这个问题了,不过API HOOK很麻烦,而且也容易出错.
------解决方案--------------------
我忘了具体细节,
只是知道全局钩子,对createprocess 和createprocessEx
挂接可以实现。
------解决方案--------------------
首先找到CreateProcessCreateProcessAsUser 、CreateProcessWithLogonW
这两个函数在哪个DLL中,应该是在Kernel32.dll中,然后挂接这几个创建
进程的函数,具体挂接方法可以使用《windows核心指南》也好像叫《windows
核心编程》第22章提供的CAIPHook类对这3个API实现挂接。原理也有和不错哦。
------解决方案--------------------
API HOOK很麻烦,还有一种方法,你做一个全局钩子,不管钩什么,因为全局钩子会钩住所有线程,所以你的监控进程运行时也会被钩入,在全局钩子的DLL的入口点中判断是不是你要监控的进程
------解决方案--------------------
这个wmi很容易实现,用__instancecreationevent 就可以