监视进程

aleax1984

之前记得论坛里有看到监视进程的帖子，进程被创建或退出都能显示，现在怎么都找到，有人看到过的吗

创世魂

没印象

承易

1. import psutil
   
2. import time
   
3. 
   
4. def get_running_processes():
   
5.     """获取当前所有正在运行的进程的PID和名称"""
   
6.     processes = {}
   
7.     for proc in psutil.process_iter(['pid', 'name']):
   
8.         processes[proc.info['pid']] = proc.info['name']
   
9.     return processes
   
10. 
    
11. def monitor_processes():
    
12.     """监视进程的创建和退出"""
    
13.     old_processes = get_running_processes()
    
14.    
    
15.     while True:
    
16.         time.sleep(1)  # 每隔1秒检查一次
    
17.         new_processes = get_running_processes()
    
18.         
    
19.         # 检查新创建的进程
    
20.         for pid, name in new_processes.items():
    
21.             if pid not in old_processes:
    
22.                 print(f"新进程创建: PID={pid}, 名称={name}")
    
23.         
    
24.         # 检查退出的进程
    
25.         for pid, name in old_processes.items():
    
26.             if pid not in new_processes:
    
27.                 print(f"进程退出: PID={pid}, 名称={name}")
    
28.         
    
29.         # 更新旧的进程列表
    
30.         old_processes = new_processes
    
31. 
    
32. if __name__ == "__main__":
    
33.     monitor_processes()

复制代码

承易

1. #include <ntddk.h>
   
2. 
   
3. // 进程创建和退出的回调函数
   
4. void ProcessNotifyCallback(
   
5.     _Inout_ PEPROCESS Process,
   
6.     _In_ HANDLE ProcessId,
   
7.     _Inout_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
   
8. )
   
9. {
   
10.     if (CreateInfo != NULL)
    
11.     {
    
12.         // 进程创建
    
13.         DbgPrint("Process created: PID=%d, ImageFileName=%wZ\n", HandleToULong(ProcessId), CreateInfo->ImageFileName);
    
14.     }
    
15.     else
    
16.     {
    
17.         // 进程退出
    
18.         DbgPrint("Process exited: PID=%d\n", HandleToULong(ProcessId));
    
19.     }
    
20. }
    
21. 
    
22. // 驱动程序卸载函数
    
23. void DriverUnload(_In_ PDRIVER_OBJECT DriverObject)
    
24. {
    
25.     // 取消注册回调函数
    
26.     PsSetCreateProcessNotifyRoutineEx(ProcessNotifyCallback, TRUE);
    
27.     DbgPrint("Driver unloaded.\n");
    
28. }
    
29. 
    
30. // 驱动程序入口点
    
31. extern "C" NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath)
    
32. {
    
33.     UNREFERENCED_PARAMETER(RegistryPath);
    
34. 
    
35.     // 注册进程创建和退出的回调函数
    
36.     NTSTATUS status = PsSetCreateProcessNotifyRoutineEx(ProcessNotifyCallback, FALSE);
    
37.     if (!NT_SUCCESS(status))
    
38.     {
    
39.         DbgPrint("Failed to register process notify callback.\n");
    
40.         return status;
    
41.     }
    
42. 
    
43.     // 设置卸载函数
    
44.     DriverObject->DriverUnload = DriverUnload;
    
45. 
    
46.     DbgPrint("Driver loaded.\n");
    
47. 
    
48.     return STATUS_SUCCESS;
    
49. }

复制代码