进程监控程序 监视进程的创建

最新推荐文章于 2023-03-23 13:30:32 发布
最新推荐文章于 2023-03-23 13:30:32 发布
阅读量230 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/xxaxx/archive/2009/12/29/1635316.html
版权
 1  Option   Explicit  
  2  ' 引用Microsoft WMI Scripting V1.2 Library 
 3  Private  objSWbemServices  As  SWbemServices 
  4  Private  WithEvents CreateProcessEvent  As  SWbemSink 
  5  Private  WithEvents DeleteProcessEvent  As  SWbemSink 
  6  Private  WithEvents ModificationProcessEvent  As  SWbemSink 
  7 
 8 
 9  Private   Sub  cmdStartCreate_Click() 
 10  StartMonitorCreateProcessEvent 
 11  End Sub  
 12 
13  Private   Sub  cmdStartDelete_Click() 
 14  StartMonitorDeleteProcessEvent 
 15  End Sub  
 16 
17  Private   Sub  cmdStartModification_Click() 
 18  StartMonitorModificationProcessEvent 
 19  End Sub  
 20 
21  Private   Sub  cmdStopCreate_Click() 
 22  CreateProcessEvent.Cancel 
 23  End Sub  
 24 
25  Private   Sub  cmdStopDelete_Click() 
 26  DeleteProcessEvent.Cancel 
 27  End Sub  
 28 
29  Private   Sub  cmdStopModification_Click() 
 30  ModificationProcessEvent.Cancel 
 31  End Sub  
 32 
33  Private   Sub  Form_Load() 
 34  StartMonitorCreateProcessEvent 
 35  StartMonitorDeleteProcessEvent 
 36  StartMonitorModificationProcessEvent 
 37  End Sub  
 38 
39  Private   Sub  Form_Unload(Cancel  As   Integer
40  CreateProcessEvent.Cancel 
 41  DeleteProcessEvent.Cancel 
 42  ModificationProcessEvent.Cancel 
 43  End Sub  
 44 
45  ' 进程创建事件 
46  Private   Sub  CreateProcessEvent_OnObjectReady(ByVal objWbemObject  As  WbemScripting.ISWbemObject, ByVal objWbemAsyncContext  As  WbemScripting.ISWbemNamedValueSet) 
 47  Dim  ProcessName  As   String , ProcessId  As   Long  
 48  ProcessName  =  objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " Name " ).Value 
 49  ProcessId  =  objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " ProcessId " ).Value 
 50  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " CommandLine " ).Value 
 51  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " CreationDate " ).Value 
 52  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " ExecutablePath " ).Value 
 53  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " Handle " ).Value 
 54  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " CreationDate " ).Value 
 55  Debug.Print objWbemObject.Properties_.Item( " TargetInstance " ).Value.Properties_.Item( " ProcessId " ).Value 
 56 
57  If  ProcessName  =   " notepad.exe "   Then  
 58  Debug.Print  " 记事记已运行 "  
 59  Shell  " ntsd -c q -p  "   &  ProcessId, vbNormalNoFocus 
 60  ' Shell "ntsd -c q -pn notepad.exe", vbNormalNoFocus 
61  End   If  
 62 
63  If  ProcessName  =   " QQ.exe "   Then     ' 关QQ
64  Shell  " ntsd -c q -p  "   &  ProcessId, vbNormalNoFocus 
 65  End   If  
 66  End Sub  
 67 
68  ' 进程退出事件 
69  Private   Sub  DeleteProcessEvent_OnObjectReady(ByVal objWbemObject  As  WbemScripting.ISWbemObject, ByVal objWbemAsyncContext  As  WbemScripting.ISWbemNamedValueSet) 
 70 
71  End Sub  
 72 
73  ' 进程属性变更事件 
74  Private   Sub  ModificationProcessEvent_OnObjectReady(ByVal objWbemObject  As  WbemScripting.ISWbemObject, ByVal objWbemAsyncContext  As  WbemScripting.ISWbemNamedValueSet) 
 75  ' MsgBox objWbemObject.Properties_.Item("TargetInstance").Value.Properties_.Item("Name").Value 
76  End Sub  
 77 
78    
 79  Private   Sub  StartMonitorCreateProcessEvent() 
 80  Set  CreateProcessEvent  =   New  SWbemSink 
 81  Set  objSWbemServices  =   GetObject ( " winmgmts:\\.\root\cimv2 "
82  objSWbemServices.ExecNotificationQueryAsync CreateProcessEvent,  " SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' "  
 83  End Sub  
 84 
85  Private   Sub  StartMonitorDeleteProcessEvent() 
 86  Set  DeleteProcessEvent  =   New  SWbemSink 
 87  Set  objSWbemServices  =   GetObject ( " winmgmts:\\.\root\cimv2 "
88  objSWbemServices.ExecNotificationQueryAsync DeleteProcessEvent,  " SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' "  
 89  End Sub  
 90 
91  Private   Sub  StartMonitorModificationProcessEvent() 
 92  Set  ModificationProcessEvent  =   New  SWbemSink 
 93  Set  objSWbemServices  =   GetObject ( " winmgmts:\\.\root\cimv2 "
94  objSWbemServices.ExecNotificationQueryAsync ModificationProcessEvent,  " SELECT * FROM __InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' "  
 95  End Sub  
 96 
97 

 

转载于:https://www.cnblogs.com/xxaxx/archive/2009/12/29/1635316.html

weixin_30699741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实时监控进程创建
03-30
Hook ObCreateObject 实时监控进程创建
C#进程监控监视程序是否崩溃、死锁?
07-13
通过结合C#的`Process`类、异常处理机制以及托盘图标功能,我们可以构建一个有效的进程监控系统,实时检测程序崩溃和死锁,同时在后台静默运行。这样的工具对于开发者来说极其有用,能够帮助他们及时发现和解决可能...
监视系统中进程创建和终止
jingzhongrong
02-16 2618
//write by jingzhongrong最近在论坛上看到很多人都在问这个问题,花了一些时间写了这个程序,原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并
进程创建监控
zzmzzff的博客
03-28 679
上次讲了下进程保护原理,这次讲一下进程监控监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
监视并控制进程创建
商少
07-31 1073
我们都知道,进程创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
监视进程以及线程的创建
myworldbig的专栏
04-22 668
<br />/***************************************************************** 文件名 : ProcessWatch.c 描述 : 进程/线程监视器 作者 : superKiki 最后修改日期 : 2010-5-10 *****************************************************************/ #include "ntddk.h" #include "string.h" #define
监视进程创建代码
09-08
监视进程创建是系统监控中的一个重要功能,它可以帮助开发者、安全研究人员或系统管理员了解系统上运行的进程动态,及时发现异常行为。在这个场景下,我们有一个名为“WMIProcessCreateMonitor”的压缩包文件,...
用VBS实现监视进程创建与删除的代码
09-05
### 使用VBS实现监视进程创建与删除的代码 在IT管理及系统监控领域,了解如何使用脚本语言来监视和管理计算机上的进程是一项非常实用的技能。本文将详细介绍如何使用Visual Basic Script(VBS)结合Windows ...
c# winform实现进程监控
08-18
在C# WinForm环境中开发进程监控程序是一项常见的任务,它涉及到对系统进程的实时跟踪、控制和管理。本文将深入探讨如何使用C#语言和Windows Forms(WinForm)框架来实现这一功能,以及如何设计一个能够按设定顺序...
基于VC进程监控程序
05-12
【基于VC进程监控程序】是一种使用Microsoft Visual C++(简称VC)开发的工具,它专门设计用于监视和管理系统的进程。在工业自动化无人值守系统中,这类程序的重要性不言而喻,因为它能够在关键软件出现问题时自动...
易语言 监视进程创建
08-22
易语言 监视进程创建 并可以拦截放行 低CPU占用
VB源码:监控指定文件夹新建、删除、重命名操作.rar
07-10
VB监控指定文件夹里的文件操作,比如新建、删除、重命名等。当程序发现文件夹内的内容改变时候会弹出提示框,对大家编写文件夹加密、文件夹监控软件应该有点帮助吧。很早前从网上下的,希望大伙共同修改、共同完善; 觉得有待修改的地方有: 1、在该指定文件夹里新建文件夹没有弹出更改提示(除此,建立其他文件都有提示); 2、怎么样控制用户只能在该文件夹里新建或者拷贝指定类型文件,如只允许在该指定文件夹里面建立*.txt文件; 测试时你可以在D盘建立一个checktest目录,点击Begin按钮后,在上述目录里任意建立、删除、重命名文件就可以看到提示了。
易语言监视进程创建
10-08
易语言监视进程创建监视进程创建监视进程创建
C++进程管理和监视程序源码
10-23
简单的进程管理和监视进程.能够显示出系统当前所有运行的进程.. 并且能够对进程进行控制,可以关闭运行,也可以禁止进程的运行. 并带有定时关机功能...
windows 64位 系统非HOOK方式监控进程创建
weixin_30530339的博客
10-03 216
以下内容参考黑客防线2012合订本354页 MSDN 原话: The PsSetCreateProcessNotifyRoutineEx routine registers or removes a callback routine that notifies the caller when a process is created or exits. NTSTATUSPsSetC...
windows下的创建进程的性能监控
iteye_7163的博客
04-20 478
windows下的创建进程的性能监控 利用windows自带的工具:性能监控工具 (控制面板>管理工具>性能) 操作步骤:(添加计数器日志) 打开性能监控工具,点开性能日志和警报>计数器日志; 再选中它单击右键,选择新建日志设置; 输入要添加的名称,再点"确定"; 常规页签: 添加对象:(性能对象) 添加计数器,若对某个单个进程进行监控,请在添加计数页面中的"性能对象"...
windows进程创建跟踪
wt_2k的专栏
06-14 2126
点击打开链接
Windows10 x64 Ring0实现进程创建监控
最新发布
zcy5157912的博客
03-23 264
win10 x64 亲测可用
监控进程创建代码
编程资料大全
02-29 229
#include "stdafx.h" #include "apihook.h" #include &lt;stdio.h&gt; typedef BOOL (WINAPI *PFNCPW)( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值