C++实现ETW进行进程变动监控

文章地址:https://www.cnblogs.com/Icys/p/EtwProcess.html

何为Etw

ETW(Event Tracing for Windows)提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制。为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。

百度百科

前言

一直想研究一种监控进程的方法,但\(wmi/枚举进程\)的方法,要么反应太慢,要么占用高。最近看到有人用\(易语言\)完成了Etw对进程变动监控的实现。

但是一直没看到\(C++\)的实现,于是决定将\(易语言\)翻译为\(C++\)。

易语言代码地址

代码

直接上翻译的代码

#include <iostream>

#include <string>

#include <cstring>

#include <windows.h>

#include <evntrace.h>

#include <psapi.h>

#include <direct.h>

#include <evntcons.h>

using namespace std;

char SESSION_NAME_FILE[] = "Sample_Process";

const UCHAR _Flag[] = { 173, 74, 129, 158, 4, 50, 210, 17, 154, 130, 0, 96, 8, 168, 105, 57 };

EVENT_TRACE_PROPERTIES m_TraceConfig;

UCHAR m_pTraceConfig[2048];

char m_File[256];

BOOL m_DoWhile;

TRACEHANDLE m_hTraceHandle;

ULONG64 m_hTraceHandle_econt[1];

TRACEHANDLE m_hSessionHandle;

string Unicode_To_Ansi(wstring strValue)

{

    static CHAR sBuff[1024] = { 0 };

    int iRet = WideCharToMultiByte(CP_ACP, 0, strValue.c_str(), -1, sBuff, sizeof(sBuff), NULL, NULL);

    if (iRet > 0) {

        return string(sBuff);

    }

    return "";

}

VOID WINAPI MyProcessRecordEvents(PEVENT_RECORD EventRecord)

{

    switch (EventRecord->EventHeader.EventDescriptor.Id)

    {

    case 1://创建进程

        cout << "创建进程!进行创建进行的进程ID:" <<

            EventRecord->EventHeader.ProcessId <<

            ",线程ID:" <<

            EventRecord->EventHeader.ThreadId <<

            ",进程SessionID:" <<

            *(ULONG*)(((PUCHAR)EventRecord->UserData)+32)<<

            ",创建的进程ID:"<<

            *(ULONG*)(((PUCHAR)EventRecord->UserData) + 0) <<

            ",创建的进程路径:"<<

            Unicode_To_Ansi(  wstring((wchar_t*)(((PUCHAR)EventRecord->UserData) + 60)))

            <<endl;

        break;

    case 2://进程退出

        cout << "进程退出!进程ID:" <<

            EventRecord->EventHeader.ProcessId <<

            ",线程ID:" <<

            EventRecord->EventHeader.ThreadId <<

            ", 进程名:"<<

            ((LPSTR)EventRecord->UserData) + 84

            <<endl;

        break;

        cout << "进程ID:" << EventRecord->EventHeader.ProcessId << ",未知的行为:0x"<<hex<<EventRecord->EventHeader.EventDescriptor.Id << endl;

    default:

        break;

    }

}

void CloseEtw()

{

    ULONG l_result = StopTraceA(m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8));

    if (m_hTraceHandle != NULL)

    {

        CloseTrace(m_hTraceHandle);

    }

}

DWORD WINAPI OpenEtw(LPVOID lpThreadParameter)

{

    m_DoWhile = TRUE;

    _getcwd(m_File, sizeof(m_File));

    strcat(m_File, "\\MyFile.etl");

    m_TraceConfig.Wnode.BufferSize = 1024;

    m_TraceConfig.Wnode.Flags = WNODE_FLAG_TRACED_GUID;

    m_TraceConfig.Wnode.ClientContext = 3;

    m_TraceConfig.BufferSize = 1;

    m_TraceConfig.MinimumBuffers = 16;

    m_TraceConfig.LogFileMode = EVENT_TRACE_REAL_TIME_MODE;

    m_TraceConfig.LoggerNameOffset = 120;

    m_TraceConfig.FlushTimer = 1;

    RtlMoveMemory(m_pTraceConfig + 8, &m_TraceConfig, 120);

    RtlCopyMemory(m_pTraceConfig + 128, SESSION_NAME_FILE, sizeof(SESSION_NAME_FILE));

    RtlCopyMemory(m_pTraceConfig + 128 + sizeof(SESSION_NAME_FILE), m_File, strlen(m_File));

    RtlCopyMemory(m_pTraceConfig + 28, _Flag, sizeof(_Flag));

    ULONG l_result = StartTraceA(&m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8));

    if (m_hSessionHandle == NULL && l_result == ERROR_ACCESS_DENIED)

    {

        cout << "StartTraceA失败!原因:无管理员权限!" << endl;

        return 0;

    }

    else if (m_hSessionHandle == NULL && l_result == ERROR_ALREADY_EXISTS)

    {

     m_hSessionHandle = 44;//输入上一次终止时候的句柄

        CloseEtw();

        cout << "StartTraceA失败!原因:已经有Etw事件进行数据跟踪!请使用上方屏蔽代码关闭事件或者使用 计算机管理 停用事件:Sample_Process" << endl;

        ControlTraceA(m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8), 1);

        return 0;

    }

    cout << "hSessionHandle: " << m_hSessionHandle << endl;

    const UCHAR m_ProcessGUID[] = { 214, 44, 251, 34, 123, 14, 43, 66, 160, 199, 47, 173, 31, 208, 231, 22 }; // PsProvGuid

    l_result = EnableTraceEx((LPCGUID)(m_ProcessGUID), 0, m_hSessionHandle, 1, 0, 16, 0, 0, 0);         //这里MatchAnyKeyword的64其实是0x40,表示 #KERNEL_KEYWORDS_IMAGE

    EVENT_TRACE_LOGFILEA m_Logfile;

    ZeroMemory(&m_Logfile, sizeof(m_Logfile));

    m_Logfile.LoggerName = SESSION_NAME_FILE;

    *((ULONG*)((PUCHAR)&m_Logfile + 20)) = 268439808;

    m_Logfile.EventRecordCallback = MyProcessRecordEvents;

    m_Logfile.Context = (PVOID)0x114514;//随便输入一个数就好了

    SetLastError(0);

    m_hTraceHandle = OpenTraceA(&m_Logfile);

    cout << "开始监视!" << endl;

    m_hTraceHandle_econt[0] = m_hTraceHandle;

    ULONG rc = ProcessTrace(m_hTraceHandle_econt, 1, 0, 0);

    return 0;

}

int main()

{

    CreateThread(NULL, NULL, OpenEtw, NULL, NULL, NULL);

    //Sleep(10000);

    system("pause");

    CloseEtw();

    return 0;

}

注意事项

  1. 必须给管理员权限

  2. 请正常退出(按任意键),否则Trace不会自己关

其他

作者(本人)水平有限,部分翻译可能有误,代码有问题可以直接回复我。

以后有时间可能会考虑翻译一下这个作者其他的关于Etw的例子,毕竟Etw实现的这些功能都很有意思,并且都比较高级。

C++实现ETW进行进程变动监控的更多相关文章

  1. zabbix3.0.4添加对指定进程的监控

    zabbix3.0.4添加对进程的监控: 主要思路: 通过 ps -ef|grep sdk-push-1.0.0.jar |grep -v grep|wc -l 这个命令来判断进程sdk-push是否 ...

  2. C#进程创建监控

    关于c#进程创建监控的文章大多都是“遍历一次进程用if去判断存在或否”这样的方法,我觉得体验不是很好.这几天写的一个软件正好需要实时监控进程创建的模块,在网上找到了很不错的方法,整理一下分享出来给大家 ...

  3. .NET Core项目部署到Linux(Centos7)(八)为.NET Core项目创建Supervisor进程守护监控

    目录 1.前言 2.环境和软件的准备 3.创建.NET Core API项目 4.VMware Workstation虚拟机及Centos 7安装 5.Centos 7安装.NET Core环境 6. ...

  4. 如何灵活运用Linux 进程资源监控和进程限制

    导读 每个 Linux 系统管理员都应该知道如何验证硬件.资源和主要进程的完整性和可用性.另外,基于每个用户设置资源限制也是其中一项必备技能. 在这篇文章中,我们会介绍一些能够确保系统硬件和软件正常工 ...

  5. Ubuntu 14.10 下运行进程实时监控pidstat命令详解

    简介 pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上 ...

  6. linux服务器内存、根目录使用率、某进程的监控告警脚本

    脚本内容如下 #!/bin/bash #磁盘超过百分之80发送邮件告警 DISK_USED=`df -T |sed -n "2p" |awk '{print ($4/$3)*100 ...

  7. Linux 运行进程实时监控pidstat命令详解

    简介 pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上 ...

  8. python 守护进程,监控进程

    守护进程代码: import time, os import subprocess def run(): while True: taskList = os.popen('tasklist').rea ...

  9. 进程实时监控pidstat命令详解

    pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上次运行 ...

随机推荐

  1. Luffy /4/ 多方式登录接口&登录注册前端页面

    目录 Luffy /4/ 多方式登录接口&登录注册前端页面 腾讯云短信 登录注册前端页面 如何实现点击登录或图片进行跳转 登录注册前端页面实现 Login.vue Register.vue H ...

  2. 基于语义感知SBST的API场景测试智能生成

    摘要:面对庞大服务接口群,完备的接口测试覆盖和业务上下文场景测试看护才有可能保障产品服务的质量和可信.如果你想低成本实现产品和服务的测试高覆盖和高质量看护,这篇文章将为你提供你想要的. 本文分享自华为 ...

  3. k8s入门之PV和PVC(八)

    某些应用是要持久化数据的,如果直接持久化在pod所在节点,当pod因为某种原因重建或被调度另外一台节点,是无法访问到之前持久化的数据,所以需要一个公共存储数据的地方,无论pod删除重建或重新调度到其他 ...

  4. Kafka 生产者解析

    一.消息发送 1.1 数据生产流程 数据生产流程图解: Producer创建时,会创建⼀个Sender线程并设置为守护线程 ⽣产消息时,内部其实是异步流程:⽣产的消息先经过拦截器->序列化器-& ...

  5. 浅析kubernetes中client-go structure01

    Prepare Introduction 从2016年8月起,Kubernetes官方提取了与Kubernetes相关的核心源代码,形成了一个独立的项目,即client-go,作为官方提供的go客户端 ...

  6. ASP.NET MVC 处理管线模型

    MVC管道整体处理模型 1.在ASP.NET MVC处理管线中的第一站就是路由模块.当请求到达路由模块后,MVC框架就会根据Route Table中配置的路由模板来匹配当前请求以获得对应的contro ...

  7. ZJOI2020

    [ZJOI2015] 地震后的幻想乡 给定一个无向图 \(G\) ,\(n\) 个点 \(m\) 条边每条边权为 \([0,1]\) 的随机实数,求这张图的最小生成树的最大边权期望. \(1\le n ...

  8. nazo.io 通关记录

    游戏网址 说在前面 答案错误页面 nazo.io/wrong 攻略 第0关 谜.io 纯粹是欢迎你来游戏. 所以他给你的start就是答案. 第1关 欢迎 它用灰体字写了key: welcome 直接 ...

  9. 在windows下使用s3cmd和s3browser来管理amazon s3的笔记

    S3是Amazon S3的简称,s3cmd是一款命令行工具用来管理s3,同时还有一款图形化的管理工具:s3 browser. 因为绝大多数用户都是在linux下管理s3,而我们的打包机是在window ...

  10. 一分钟学会如何自定义小程序轮播图(蜜雪冰城Demo)

    最近开发小程序项目用到了轮播图,默认的有点单调,作为后端程序员,研究一番最终实现了.本文会从思路,代码详细介绍,相信读过此文后,不管以后在开发中碰到轮播图还是需要自定义修改其他的样式都可以按这个思路解 ...