Używam następującego kodu C# w usłudze systemu Windows (która działa jako NT_AUTHORITY\SYSTEM), aby utworzyć procedurę obsługi zdarzeń do odbierania zdarzeń tworzenia procesów (przy użyciu usług WMI i WQL):Rozpocznij proces przy użyciu usługi WMI - nie wszystkie procesy są wykrywane
string queryString = "SELECT * FROM Win32_ProcessStartTrace";
ManagementEventWatcher watcher = new ManagementEventWatcher(new WqlEventQuery(queryString));
watcher.EventArrived += new EventArrivedEventHandler(ProcessStartEvent);
watcher.Start();
W ProcessStartEvent:
int processId = int.Parse(e.NewEvent.Properties["ProcessId"].Value.ToString());
Process proc = Process.GetProcessById(processId);
Out("Received process: " + proc.ProcessName);
problem mam jest to, że (z jakiegoś dziwnego powodu) nie każdy początek procesu jest c aptured i zgłoszone przez program. Jeśli rozpoczynam około 6 procesów jednocześnie, jeden nie może pojawić się na wyjściu.
Próbowałem wykonać pewne badania dotyczące przechwytywania zdarzeń związanych z tworzeniem procesów za pomocą usługi WMI, ale dostępne są ograniczone informacje. Widziałem, że jest to również możliwe, aby uchwycić proces zaczyna używać coś podobnego do:
SELECT TargetInstance
FROM __InstanceCreationEvent
WITHIN 2
WHERE TargetInstance ISA 'Win32_Process'
(Jak widać w this Stack Overflow answer)
Czy istnieją znaczne różnice między użyciem __InstanceCreationEvent i Win32_ProcessStartTrace? Czy to może być przyczyną moich problemów?
Czy istnieje wyjaśnienie, dlaczego nie otrzymuję zdarzeń dla wszystkie rozpoczyna się proces? Czy jest coś bardziej oczywistego, że robię źle tutaj?
Prawdopodobny duplikat [.NET Events dla uruchomienia uruchamianego procesu] (http://stackoverflow.com/questions/848618/net-events-for-process-executable-start) –
@Dimi Powiedziałbym, że to dość inne pytanie, ponieważ koncentruje się na tym, dlaczego niektóre zdarzenia znikają, podczas gdy inne są złapane nawet przy użyciu rzekomo "poprawnej" metody łapania zdarzeń rozpoczęcia procesu. – Xenon