【发布时间】:2014-01-15 11:36:01
【问题描述】:
我想知道是否有任何方法可以检查用户是否通过双击、在 cmd 中输入所需命令、通过资源管理器中的地址栏等或其他程序启动了特定进程使用 CreateProcess() 或 ShellExecute()。
我尝试检查已创建进程的父进程 ID,但未能看到用户启动进程的父 pid 之间的任何一致性。我想知道是否有任何其他方式或使用 ppids 的万无一失的方式。
【问题讨论】:
-
是的,ParentProcessId 就是这样做的方法。例如,由 Win32_Process 上的 WMI 查询返回。您需要自己找到一致性,完全不清楚为什么您看不到任何内容。
-
您为什么要这样做?也许对于实际的潜在问题有更好的解决方案。
-
PPID 在 Windows 中并非万无一失,因为与 nx 不同,父进程可以在子进程之前完全终止。
标签: winapi process operating-system pid