auf start von fremden prozess reagieren
 

Hallo Zusammen,

ist es irgendwie möglich herrauszubekommen, wann ein neuer Prozess (irgend ein anderes Programm) startet, also ohne jetzt immer die Tabelle der laufenden Prozesse abgleichen zu müssen? Und wenn ja, kann ich dann noch weitere Informationen über diesen Prozess (Name, Pfad zur Programmdatei, Prozess ID, etc.) herausbekommen?

liebe Grüße,

Phill

Re: auf start von fremden prozess reagieren
 

Och das hatten wir schon so oft. Benutz doch einfach mal die Suche. Letztendlich läuft es darauf hinaus, dass du die entsprechenden API-Funktionen hooken musst. Wie das geht hat toms in seinem Execute-Hook demonstriert:
http://www.michael-puff.de/dirindex..../Importe/toms/

Re: auf start von fremden prozess reagieren
 

sorry luckie, aber ich habe gesucht... bald 10 minuten lang,
da mir klar war, dass das schon x mal besprochen wurde, aber
ich habs einfach nicht gefunden.

Wo ist also das Problem, wenn ich einfach noch mal nachfrage,
wenn dich der Tread stört, dann lösch ihn doch einfach..!

Re: auf start von fremden prozess reagieren
 

Also, ich kann Luckie schon verstehen.. Ich habe gerade auf gut Glück gegoogelt und im ersten Treffer Delphi-Sourcecode gefunden... Naja will die sinnlos-Diskussion jetzt nicht aufflammen lassen. Würde sagen Ende hier...

Re: auf start von fremden prozess reagieren
 

Tja Jungens, wie wäre es dann endlich mal mit einem Tutorial: "wie suche ich richtig?". Und das meine ich keineswegs abwertend gegenüber Evian, sondern im Gegenteil. Das Problem ist nämlich, daß eine automatisch indizierte Textmenge eben auch nur bei den "richtigen" Begriffen was sinnvolles ausspuckt. :zwinker:

Nochmal zur eigentlichen Frage, das funktioniert dann bei einigen Methoden, mit denen man ein Programm auch starten kann, nicht mehr so gut. Da könnte man dann jedoch seit Windows 2000 vorhande KM-Callbacks benutzen.

Re: auf start von fremden prozess reagieren
 

Wenn es um einen bestimmten Prozessnamen geht, hat sich das für mich bewährt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Dort einen neuen Schlüssel für zum Beispiel calc.exe anlegen und dort einen REG_SZ mit dem Namen Debugger und dem Wert deines Überwachungsprogramms erstellen.
Ich habe meinem Programm dann noch ein Mutex gegeben und Commandline Options mit in den REG_SZ Eintrag geschrieben, so dass mein Programm nicht zig mal gestartet wird, sondern die erste Instanz wieder die Kontrolle bekommt und auf den Start der Executable reagieren kann.

Im Kernelmode dagegen kann man PsSetLoadImageNotifyRoutine() benutzen.