Procmon 的命令行版本 [关闭]

Question

我使用的是 Windows 7，我想监视新的 Process Create 事件。 （即为创建的每个进程获取一个条目，并提供有关它的完整详细信息。）我在 Procmon 中成功地做到了这一点，但我想在 shell 中做到这一点，并在没有 GUI 的情况下获得文本输出。

是否有执行此操作的 CLI 命令？例如我可以告诉它“请使用某某路径列出某某类型的所有事件”，它会无限期地运行，将这些过程的详细信息写入标准输出？

Answer 1

您可以使用Microsoft.Diagnostics.Tracing.TraceEvent nuget package 构建自己的。它是 ETW (Event Tracing for Windows) 事件的包装器，它开发了我的 Microsoft。

这里是一些示例 C# 控制台应用程序代码，显示所有进程启动和停止事件：

using System;
using Microsoft.Diagnostics.Tracing.Parsers;
using Microsoft.Diagnostics.Tracing.Session;

namespace ProcMon
{
    class Program
    {
        static void Main(string[] args)
        {
            if (TraceEventSession.IsElevated() != true)
            {
                Console.WriteLine("To turn on ETW events you need to be Administrator, please run from an Admin process.");
                return;
            }

            using (var session = new TraceEventSession("whatever"))
            {
                // handle console CTRL+C gracefully
                Console.CancelKeyPress += (sender, e) => session.Stop();

                // we filter on events we need
                session.EnableKernelProvider(KernelTraceEventParser.Keywords.Process);

                session.Source.Kernel.ProcessStart += data =>
                {
                    Console.WriteLine("START Id:" + data.ProcessID + " Name:" + data.ProcessName);
                };

                session.Source.Kernel.ProcessStop += data =>
                {
                    // stop has no name
                    Console.WriteLine("STOP Id:" + data.ProcessID);
                };

                // runs forever, press CTRL+C to stop
                session.Source.Process();
            }
        }
    }
}