Слежение за запущенными процессами в Windows 7
Каким образом в Windows 7 можно следить за запущенными процессами? Судя по наблюдаемым эффектам (перехват выполнения запускаемых процессов с целью оповещения об их потенциальной небезопасности, например), это вполне себе возможно. На XP я делал DLL, внедряемую посредством AppInitDLLs, но почему-то в некоторых случаях способ не работал. А семёрка у меня 64-битная, и писать 2 отдельных библиотеки как-то нет желания. Задача — получение командной строки, с которой было запущено приложение, и имени пользователя, из-под которого оно было запущено. Большего пока не требуется.
Увы, но там нет таких функций. Статичный мониторинг мне не нужен, надо что-то типа событий по запуску процессов, что ли…
Есть жуткий способ -- здесь. Драйвер писать придется.
Действительно жуткий. Но ведь я более чем уверен, что у того же «Защитника Windows» никакого драйвера нет (а если есть, то можно наладить с ним взаимодействие). Точно в арсенале семёрки (а может, и версий ниже) нет никаких событийных API на эту тему? Или хотя бы WMI.
Или вот ещё ETW вспомнил.
Или вот ещё ETW вспомнил.
В WMI что-то есть, но не для всех процессов годится. Есть и в System.Management из .Net (ETW из этой темы). Но, требуется чуть-ли не 4.5 фреймворка.
Кстати, у Защитника драйвера нет, но есть служба. Действительно, может в направлении служб покопать?
Кстати, у Защитника драйвера нет, но есть служба. Действительно, может в направлении служб покопать?
System.Management само на wmi завязано. Есть еще это.
.Net FW не нужен :)
Может, служба обращается к драйверу (хотя в драйверах не-PnP не обнаружил). Нашёл только вот это по поводу ETW, но там всё очень бедно и непонятно, а также, например, вот это, но применимо оно только для драйверов (не знаю, будет ли оно работать в UMDF, но не факт, что через них проще).
Может, служба обращается к драйверу (хотя в драйверах не-PnP не обнаружил). Нашёл только вот это по поводу ETW, но там всё очень бедно и непонятно, а также, например, вот это, но применимо оно только для драйверов (не знаю, будет ли оно работать в UMDF, но не факт, что через них проще).
Тоже примерно тем-же путем бродил :) Драйвер насколько понял kernel mode требуется. Вот любопытная статейка.
Драйвер хоть и уровня ядра, но похоже не сложный. Может установить Ms. DDK - в нем наверняка примеры есть и возможно даже шаблоны драйверов.
Драйвер хоть и уровня ядра, но похоже не сложный. Может установить Ms. DDK - в нем наверняка примеры есть и возможно даже шаблоны драйверов.
Ха, так к той-же статье даже исходники есть! И даже ссылка скачать вначале статьи :) Совсем я тупой стал..
В том-то и проблема, что хотелось бы без драйверов… Но, судя по всему, иной возможности нет. Я тоже на это натыкался.
Благодарю за потраченное время.
Благодарю за потраченное время.