可以在不使用内核模式驱动程序的情况下用 C 监视进程创建和终止吗？

无需内核模式驱动程序的 C 语言中的高效进程创建/终止检测

在 Windows 编程领域，跟踪 Win32 进程的启动和终止至关重要。传统上，此任务是通过实现 PsSetCreateProcessNotifyRoutine() 的内核模式驱动程序来完成的。但是，有没有一种方法可以在不依赖驱动程序开发的情况下实现这一目标？

仅使用 Win32 API 的方法

幸运的是，存在一种利用 Win32 API 函数的替代解决方案。这种方法规避了密集轮询方法，利用系统范围的回调和异步事件。

WMI 作为可行的选项

Windows Management Instrumentation (WMI) 是一个出色的工具用于过程监控。它提供有关各种系统组件的全面信息，包括流程生命周期事件。虽然 WMI 无缝处理进程名称，但如果跟踪进程终止是主要目标，它可能不适合。

RegisterWaitForSingleObject：轻量级解决方案

为了高效的进程终止检测，轻量级的 RegisterWaitForSingleObject() 方法提供了一种更好的方法。该函数注册一个回调，一旦指定的进程终止就会调用该回调。下面是演示其用法的代码片段：

VOID CALLBACK WaitOrTimerCallback(
    _In_ PVOID lpParameter,
    _In_ BOOLEAN TimerOrWaitFired
)
{
    MessageBox(0, L"The process has exited.", L"INFO", MB_OK);
    return;
}

DWORD dwProcessID = 1234;
HANDLE hProcHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID);

HANDLE hNewHandle;
RegisterWaitForSingleObject(&hNewHandle, hProcHandle, WaitOrTimerCallback, NULL, INFINITE, WT_EXECUTEONLYONCE);

一旦 ID 为 dwProcessID 的进程终止，此代码片段将调用 WaitOrTimerCallback 函数。

结论

虽然内核模式驱动程序提供强大的进程监视功能，但它们引入了复杂性和开销。对于以跟踪进程终止为主要目标的场景，RegisterWaitForSingleObject() 函数利用 Win32 API 函数提供了一个轻量级且高效的解决方案。

以上是可以在不使用内核模式驱动程序的情况下用 C 监视进程创建和终止吗？的详细内容。更多信息请关注PHP中文网其他相关文章！