WMIを使用して作成されたプロセスのソースおよび宛先PIDを取得する方法は？

Question

プロセスは、VBSでcalc.exeを起動する例の下で、WMI COMを使用して生成できます。親はWscript.exeではなくWMI COMサーバーであるWmiPrvSE.exeです。タスクは、プロセス作成の要求の下にフックすることです。

str = "calc.exe" 
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2") 
Set objStartup = objWMIService.Get("Win32_ProcessStartup") 
Set objConfig = objStartup.SpawnInstance_ 
Set objProcess = GetObject("winmgmts:\\.\root\cimv2:Win32_Process") 
objProcess.Create str, Null, objConfig, intProcessID 

非同期プロセスの作成使用してWMIを使用して監視することができるクエリ：

"SELECT * FROM MSFT_WmiProvider_ExecMethodAsyncEvent_Post WHERE ObjectPath=\"Win32_Process\" AND MethodName=\"Create\""; 

イベントは上記のVBSスクリプトはManagementEventWatcherが役に立つ情報のみのコマンドラインを与えるイベントを受信executed.Butされたときにトリガーされます。

void OnEventArrived(object sender, System.Management.EventArrivedEventArgs e) 
{ 
string cmdline = e.NewEvent["InputParameters"]["ProcessStartupInformation"]["CommandLine"] 
} 

VBSがspawning calc.exeを発信したことを知ることは不可能です。 "wscript.exe sample.vbs"というソースと宛先のPIDが必要です。PID = 666はWMIを使用して "calc.exe" PID = 667を作成しました。これを行う方法？ また、MSFT_WmiProvider_ExecMethodAsyncEvent_Preイベントのプロセス作成を防止する可能性はありますか？

Answer 1

Process.Idプロパティを試してください。

Process[] localByName = Process.GetProcessesByName("notepad"); 
int i = localByName.Length; 
while (i > 0) 
{ 
    // You can use the process Id to pass to other applications or to 
    // reference that particular instance of the application. 
    Console.WriteLine(localByName[i - 1].Id.ToString()); 
    i -= 1; 
} 

あなたが別のプロパティを使用して列挙するために必要な場合には、そのhereをそれらをチェックアウト。