Появление процесса - Win Api

student_63 · 22.04.2008, 19:01

Доброе время суток, подскажите, пожалуйста как узнать что в системе появился (завершился) процесс? Желательно с помощью NtQuerySystemInformation

B_N · 22.04.2008, 19:23

В Ring3 только постоянным обновлением списка. Если не рассматривать не больно полезный вариант SWbemServices.ExecNotificationQuery или перехват NtCreateProcess. В ядре можно поставить свю ловушку через PsSetCreateProcessNotifyRoutine или PsSetLoadImageNotifyRoutine

rpy3uH · 22.04.2008, 19:30

можно также через перехват функции NtCreateThread.

student_63 · 22.04.2008, 19:35

Что то я про энти функции почитал, по ним вроде как надо драйвер писать (или я ошибаюсь), а можно как-нибудь по другому?

B_N · 22.04.2008, 19:40

Цитата:

Сообщение от student_63

Что то я про энти функции почитал, по ним вроде как надо драйвер писать (или я ошибаюсь), а можно как-нибудь по другому?

Если про Ps**** - да, драйвер. Я умудрился выше пропустить слово "ядро". Всё остальное можно вызывать как обычно, только они в общем ничего не гарантируют на 100%, либо следить нужно самому в цикле.

student_63 · 22.04.2008, 19:43

Ну я так и хочу, по таймеру следить за изменениями и если чтото изменилось - обновить список, а то просто так по таймеру как то нехорошо получается все время обновлять

Спасибо за ответы

rpy3uH · 22.04.2008, 20:08

Цитата:

Сообщение от student_63

Ну я так и хочу, по таймеру следить за изменениями и если чтото изменилось - обновить список, а то просто так по таймеру как то нехорошо получается все время обновлять

именно так и делает диспетчер задач Windows!

student_63 · 22.04.2008, 20:18

Чтото я не нашел как пользоваться этими функциями, может скажите как проследить за изменениями с помощью NtCreateThread, например

B_N · 22.04.2008, 20:40

Цитата:

Сообщение от student_63

Чтото я не нашел как пользоваться этими функциями, может скажите как проследить за изменениями с помощью NtCreateThread, например

Где-то на форуме должен быть пример на дельфи от rpy3uHа по перехвату "снизу" NtQuerySystemInformation. Попробуйте поискать, может быть он сам поможет точной ссылкой, но, честно говоря, это далеко не идеальный способ в Вашем случае. Пожалуй всё-таки лучше делать это по таймеру через NtQuerySystemInformation (или NtQueryInformationProcess). И, кстати, советую обзавестись справочником по Native API Нэббета, если Вы ещё этого не сделали.

Stilet · 23.04.2008, 08:36

Цитата:

а то просто так по таймеру как то нехорошо получается все время обновлять

Чеж тут плохого?

22.04.2008, 19:01	#1
student_63 Пользователь Регистрация: 07.11.2007 Сообщений: 92	Появление процесса Доброе время суток, подскажите, пожалуйста как узнать что в системе появился (завершился) процесс? Желательно с помощью NtQuerySystemInformation Я уверен, вы согласитесь со мной... что если со страницей 534 мы встречаемся во второй главе, то первая глава должна быть невыносимо длинной. - ШЕРЛОК ХОЛМС

22.04.2008, 19:23	#2
B_N Новичок Джуниор Регистрация: 18.01.2008 Сообщений: 1,720	В Ring3 только постоянным обновлением списка. Если не рассматривать не больно полезный вариант SWbemServices.ExecNotificationQuery или перехват NtCreateProcess. В ядре можно поставить свю ловушку через PsSetCreateProcessNotifyRoutine или PsSetLoadImageNotifyRoutine Последний раз редактировалось B_N; 22.04.2008 в 19:38. Причина: пропустил самое важно слово - "в ядре"

22.04.2008, 19:30	#3
rpy3uH добрый няша Старожил Регистрация: 29.10.2006 Сообщений: 4,804	можно также через перехват функции NtCreateThread. [Программирование на ассемблере на платформе x86-64]

22.04.2008, 19:35	#4
student_63 Пользователь Регистрация: 07.11.2007 Сообщений: 92	Что то я про энти функции почитал, по ним вроде как надо драйвер писать (или я ошибаюсь), а можно как-нибудь по другому? Я уверен, вы согласитесь со мной... что если со страницей 534 мы встречаемся во второй главе, то первая глава должна быть невыносимо длинной. - ШЕРЛОК ХОЛМС

22.04.2008, 19:43	#6
student_63 Пользователь Регистрация: 07.11.2007 Сообщений: 92	Ну я так и хочу, по таймеру следить за изменениями и если чтото изменилось - обновить список, а то просто так по таймеру как то нехорошо получается все время обновлять Спасибо за ответы Я уверен, вы согласитесь со мной... что если со страницей 534 мы встречаемся во второй главе, то первая глава должна быть невыносимо длинной. - ШЕРЛОК ХОЛМС Последний раз редактировалось rpy3uH; 22.04.2008 в 20:07.

22.04.2008, 20:18	#8
student_63 Пользователь Регистрация: 07.11.2007 Сообщений: 92	Чтото я не нашел как пользоваться этими функциями, может скажите как проследить за изменениями с помощью NtCreateThread, например Я уверен, вы согласитесь со мной... что если со страницей 534 мы встречаемся во второй главе, то первая глава должна быть невыносимо длинной. - ШЕРЛОК ХОЛМС

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Плавное появление формы	HAMMAN	Общие вопросы Delphi	3	15.05.2008 14:20
возобновить появление формы	strannik	Общие вопросы Delphi	4	18.09.2007 05:51
Появление формы.	Kukkk	Общие вопросы Delphi	17	13.09.2007 20:23
Появление подсказки	Римма	Общие вопросы Delphi	6	20.08.2007 12:22