使用WMI進程啓動事件 - 並非檢測到所有進程開始

Question

我在Windows服務（運行時爲NT_AUTHORITY\SYSTEM）中使用以下C＃代碼來創建用於接收進程創建事件（使用WMI和WQL）的事件處理程序：

string queryString = "SELECT * FROM Win32_ProcessStartTrace"; 
ManagementEventWatcher watcher = new ManagementEventWatcher(new WqlEventQuery(queryString)); 
watcher.EventArrived += new EventArrivedEventHandler(ProcessStartEvent); 
watcher.Start(); 

在ProcessStartEvent：

int processId = int.Parse(e.NewEvent.Properties["ProcessId"].Value.ToString()); 
Process proc = Process.GetProcessById(processId); 

Out("Received process: " + proc.ProcessName); 

---

我遇到的問題是，（一些奇怪的原因）不是每一個過程的開始爲c截獲並由程序報告。如果我同時啓動大約6個進程，則可能不會顯示在輸出中。

我試圖做一些關於使用WMI捕獲進程創建事件的研究，但是有限的信息可用。我已經看到的是，還可以拍攝過程中開始使用類似的東西：

SELECT TargetInstance 
FROM __InstanceCreationEvent 
WITHIN 2 
WHERE TargetInstance ISA 'Win32_Process' 

（如this Stack Overflow answer所示）

是否有使用__InstanceCreationEvent和Win32_ProcessStartTrace之間的主要區別？這可能是我的問題的原因嗎？

是否有所有過程開始解釋，爲什麼我沒有收到事件？有什麼更明顯的，我在這裏做錯了嗎？

Answer 1

這兩種方法都是有效的，但以不同的方式起作用。

當您使用__InstanceCreationEvent WMI類時，您正在使用intrinsic事件，這意味着您正在監視標準WMI數據模型中的更改（這適用於表中的觸發器）。

當您使用Win32_ProcessStartTrace時，您正在使用Extrinsic事件，這意味着您正在使用針對特定任務制定的專用事件類，以監視流程創建。

現在回到您的問題，避免某些事件「丟失」的最佳方法是創建permanent event consumer。

Answer 2

我發現，當你得到一個進程已經開始的事件 - 將該事件傳遞到一個單獨的線程，例如boost線程，你可以將進程ID傳遞給一個新的線程。

這意味着WMI COM不會陷入糾結並停止工作。

看到http://sourceforge.net/p/processhistory/code/HEAD/tree/trunk/PHLogger/COM_WMI_Consumer/

一些工作的C++代碼。