C++:监视 Windows 中的进程创建和终止
C++: Monitor process creation and termination in Windows
我碰巧在这里看到了以下部分代码。
$Obj.ExecNotificationQueryAsync($hObj, "SELECT * FROM __InstanceCreationEvent WITHIN 0.5 WHERE TargetInstance ISA 'Win32_Process'")
$Obj.ExecNotificationQueryAsync($hObj, "SELECT * FROM __InstanceDeletionEvent WITHIN 0.5 WHERE TargetInstance ISA 'Win32_Process'")
Switch $OB.Path_.Class
Case "__InstanceCreationEvent"
ConsoleWrite("+~>" & _ProcessGetPath($OB.TargetInstance.ProcessID) & @CR)
Case "__InstanceDeletionEvent"
ConsoleWrite("!~>" & $OB.TargetInstance.ProcessID & @CR)
EndSwitch
我使用相同的WQL查询来监视C++中的进程。C++中是否有类似的东西,我可以通过它知道它是过程的创建还是终止。我尝试使用 __CLASS ,但它给出的输出为 Win32_Process .我正在用MSVS2010编码.
请帮忙。谢谢
编辑 1:添加了 WQL 查询
hres = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceDeletionEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process' "),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
hres = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceCreationEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process'"),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
使用上面的代码,我从 IWbemObjectSink::Indicate 方法获取进程的名称,无论是创建的还是终止的,打印到控制台中。
为了使用单个 WQL 语句检测进程的创建和终止,您可以像这样使用 __InstanceOperationEvent 类。
Select * From __InstanceOperationEvent Within 1 Where TargetInstance ISA Win32_Process
然后,如果要确定到达的事件的类型(类),则必须显示__Class属性。
试用此示例
HRESULT EventSink::Indicate(long lObjectCount,
IWbemClassObject **apObjArray)
{
HRESULT hr = S_OK;
_variant_t vtProp;
for (int i = 0; i < lObjectCount; i++)
{
bool CreateorDel = false;
_variant_t cn;
hr = apObjArray[i]->Get(_bstr_t(L"__Class"), 0, &cn, 0, 0);
if (SUCCEEDED(hr))
{
wstring LClassStr(cn.bstrVal);
if (0 == LClassStr.compare(L"__InstanceDeletionEvent") )
{
wcout << "Deletion" << endl;
CreateorDel = true;
}
else if (0 == LClassStr.compare(L"__InstanceCreationEvent"))
{
wcout << "Creation" << endl;
CreateorDel = true;
}
else
{
CreateorDel = false;
//wcout << "Modification " << endl;
}
}
VariantClear(&cn);
if (CreateorDel)
{
hr = apObjArray[i]->Get(_bstr_t(L"TargetInstance"), 0, &vtProp, 0, 0);
if (!FAILED(hr))
{
IUnknown* str = vtProp;
hr = str->QueryInterface( IID_IWbemClassObject, reinterpret_cast< void** >( &apObjArray[i] ) );
if ( SUCCEEDED( hr ) )
{
_variant_t cn;
hr = apObjArray[i]->Get( L"Name", 0, &cn, NULL, NULL );
if ( SUCCEEDED( hr ) )
{
if ((cn.vt==VT_NULL) || (cn.vt==VT_EMPTY))
wcout << "Name : " << ((cn.vt==VT_NULL) ? "NULL" : "EMPTY") << endl;
else
wcout << "Name : " << cn.bstrVal << endl;
}
VariantClear(&cn);
hr = apObjArray[i]->Get( L"Handle", 0, &cn, NULL, NULL );
if ( SUCCEEDED( hr ) )
{
if ((cn.vt==VT_NULL) || (cn.vt==VT_EMPTY))
wcout << "Handle : " << ((cn.vt==VT_NULL) ? "NULL" : "EMPTY") << endl;
else
wcout << "Handle : " << cn.bstrVal << endl;
}
VariantClear(&cn);
}
}
VariantClear(&vtProp);
}
}
return WBEM_S_NO_ERROR;
}
相关文章:
- WMI检测进程创建事件-c++
- C++ 无法识别创建进程'telnet'
- 避免使用 boost::进程间::消息队列创建文件
- 从根权限进程创建可访问的文件
- gcc 找不到 -lgcc, g++.exe: 错误: 创建进程: 没有这样的文件或目录
- 如何在进程之间创建双向通道?
- 创建进程 API 失败,在窗口 122 上出现错误代码 10
- 有没有办法为使用 Boost 生成的进程创建新的控制台窗口
- 如何在 Python 进程中访问由C++进程创建的互斥锁
- 是否有可能以及如何使用log4cxx库每个进程创建独立的记录仪
- 从创建进程创建的进程获取输出
- C++:监视 Windows 中的进程创建和终止
- 子进程如何告诉其父进程创建新的子进程
- 从“cmd”文件启动的进程创建进程
- 仅使用本地c++操作为多个进程创建共享内存
- 在OSX中使用C / c++获取进程创建日期时间
- Windows父进程和子进程创建
- 使用CreateProcessAsUser函数从提升进程创建非提升进程
- 为运行在非admin用户帐户中的进程创建防火墙规则
- 如何跟踪进程创建的ActiveX控件?
