Как отловить событие создания или прекращения процесса.

← →
demonyator © (2003-10-30 00:41) [0]

Подскажите, каким образом можно "узнавать" о создании нового порцесса в системе.

← →
Digitman © (2003-10-30 08:48) [1]

ставишь любой глоб.хук
в процедуре инициализации в обработчике DLL_PROCESS_ATTACH при пом. GetModuleFileName(0) получаешь полный путь к файлу модуля хост-процесса, отсылаешь эту инф-цию любым удобным способом приложению-монитору

← →
dvp © (2003-10-30 10:50) [2]

2Digitman
Какой это "любой глобальный хук"?

← →
Digitman © (2003-10-30 11:14) [3]

любой, предусмотренный параметром idHook ф-ции SetWindowsHookEx, когда последняя вызывается именно для установки глобального (не локального !) хука

достаточно однократного вызова SetWindowsHookEx с любым из допустимых значений этого параметра, чтобы указанная хук-DLL была автоматически внедрена системой во все существующие процессы

после установки глоб.хука всякий раз когда стартует новый процесс, система будет автоматически внедрять экз-р хук-DLL в АП этого процесса, при этом код инициализации библ-ки получит управление, что, собственно, и нужно.

когда процесс завершается, экз-р внедренной ранее в его АП хук-DLL будет автоматически выгружен, при этом код деинициализации библ-ки так же получит управление

← →
dvp © (2003-10-30 11:15) [4]

Если не GUI-приложение то никакой хук тут не поможет
только Ring-0

← →
Digitman © (2003-10-30 12:10) [5]

> dv

верное замечание.
мне это следовало бы отметить.

← →
DVM © (2003-10-30 12:14) [6]

Тогда плюс к этому таймер и сканирование списка процессов

← →
dvp © (2003-10-30 12:15) [7]

а если процесс выполнялся менее интервала таймера

← →
DVM © (2003-10-30 12:19) [8]

> а если процесс выполнялся менее интервала таймера

может +перехват CreateProcess

тогда зачем таймер

тогда незачем уже

а как этот самый Create Process перехватить? Через AppInit_DLLs не всё отлавливается (например calc.exe).

Как отловить событие создания или прекращения процесса. Найти похожие ветки