易语言资源网 - 做最全的易语言资源下载社区
精易论坛授权登录
退出登录
我要分享内容
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
搜索
精易模块
自绘
界面美化
汇编
POST
API
易语言助手
高级搜索
首页
易语言源码
入门教程源码
初级教程源码
进阶教程源码
高级教程源码
系统工具源码
图形图像源码
多媒体类源码
游戏娱乐源码
数据库类源码
模块控件源码
行业软件源码
网络相关源码
界面美化源码
易语言模块
易语言支持库
易官方支持库
第三方支持库
OCX控件库
辅助类支持库
支持2017link的改造库
易相关资源
易语言版本下载
易语言配色方案
编程辅助工具
编译链接器
易相关资料
电子书类
图文资料
开源大赛
2016开源大赛(第一届)
2017开源大赛(第二届)
2018开源大赛(第三届)
2019开源大赛(第四届)
2020开源大赛(第五届)
2021开源大赛(第六届)
2022开源大赛(第七届)
火山相关资源
火山版本下载
火山安卓源码
火山PC源码
其他资源
JavaScript
PHP
C++
HTML
uni-app
Java
Golang
C#
Delphi
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
当前位置:
易语言资源网
>
高级教程源码
>
帖子内容
【Etw系列】使用NT Kernel Logger监听系统进程创建结束详细信息
[复制链接]
2022-06-20 09:06:33
高级教程源码
易语言资源网
2186
次浏览
来源链接
Etw系列:
【易首发】使用Etw监视全系统IMAGE加载卸载情况
【Etw系列】使用Etw监视系统进程创建的详细信息
更多:
Etw监视进程创建是一种底层的监视方法,其实现过程在系统内核,其真实性、稳定性和可靠性远大于使用WMI或不断枚举进程的方法,同时利用Etw监视可以获得更多的信息,例如获得发起创建进程的进程ID,线程ID,创建的进程真实路径,创建进程的内核Key地址,进程命令行,结束进程等信息:
与之前帖子的区别:
之前的程序使用基于清单“Microsoft-Windows-Kernel-Process”进行Process创建监听,这是Etw的一个manifest事件。
而本程序则是使用基于MOF(Management Object Format)的“NT Kernel Logger”(经典事件)进行的进程监听,具有更加底层的优点,同时可以实现监听程序命令行、监听程序对于NtTerminateProcess的调用,这是manifest事件做不到的。
PS:
程序启用NT Kernel Logger事件监视必须拥有管理员权限!
程序启用NT Kernel Logger事件监视必须拥有管理员权限!
若监视程序异常退出,请务必手动停止NT Kernel Logger事件
若监视程序异常退出,请务必手动停止NT Kernel Logger事件
点我下载
(已有
62
次下载)
引用模块
无
引用支持库
源码文件名
支持库文件名
支持库标识
Etw - NT Kernel Logger - Process.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
[错误报告]
上一篇:置入代码64位来了...
下一篇:批量测试IP(ping)可以显示cmd信...
本栏最新
1
简易任务派发系统
2
取文件hash值-控制台程序-支持文件/文本-拖放-命令行-全utf8
3
Lanzou2link蓝奏云解析模块
4
任务栏系统监测 | CPU/内存占用 | 磁盘读写 | 网卡速率 | 天气
5
自绘窗口阴影2.2
6
JOUI频谱更新啦~新增3D水波效果
7
ADB-DLL分享-兼容全网模拟器和真机
8
时区时间转换,支持夏令时
9
批量转换PPT为PDF
10
c语言c++语言注释翻译器
本栏最热
1
OPENSSL加密解密大集合
2
Chrome内核浏览器 易语言源码例子分享
3
易语言之源码密码暴力破解(支持字典)
4
易语言模拟器多开中控源码|
5
简易任务派发系统
6
webkitChrome内核浏览器易语言源码
7
封包拦截工具开源
8
UI美化的动态桌面
9
窗口组件随窗口大小改变自适应大小位置源码
10
易语言版Cef框架WebKit!打造你的HTML5浏览器
栏目标签
API
PE
算法
自绘
截图
多线程
黑月
exui
加密解密
RC4
支持库信息查看
句柄
压缩
排序
UI
