C++实现ETW进行进程变动监控

文章地址:https://www.cnblogs.com/Icys/p/EtwProcess.html

何为Etw

ETW(Event Tracing for Windows)提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制。为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。

百度百科

前言

一直想研究一种监控进程的方法,但\(wmi/枚举进程\)的方法,要么反应太慢,要么占用高。最近看到有人用\(易语言\)完成了Etw对进程变动监控的实现。

但是一直没看到\(C++\)的实现,于是决定将\(易语言\)翻译为\(C++\)。

易语言代码地址

代码

直接上翻译的代码

#include <iostream>

#include <string>

#include <cstring>

#include <windows.h>

#include <evntrace.h>

#include <psapi.h>

#include <direct.h>

#include <evntcons.h>

using namespace std;

char SESSION_NAME_FILE[] = "Sample_Process";

const UCHAR _Flag[] = { 173, 74, 129, 158, 4, 50, 210, 17, 154, 130, 0, 96, 8, 168, 105, 57 };

EVENT_TRACE_PROPERTIES m_TraceConfig;

UCHAR m_pTraceConfig[2048];

char m_File[256];

BOOL m_DoWhile;

TRACEHANDLE m_hTraceHandle;

ULONG64 m_hTraceHandle_econt[1];

TRACEHANDLE m_hSessionHandle;

string Unicode_To_Ansi(wstring strValue)

{

    static CHAR sBuff[1024] = { 0 };

    int iRet = WideCharToMultiByte(CP_ACP, 0, strValue.c_str(), -1, sBuff, sizeof(sBuff), NULL, NULL);

    if (iRet > 0) {

        return string(sBuff);

    }

    return "";

}

VOID WINAPI MyProcessRecordEvents(PEVENT_RECORD EventRecord)

{

    switch (EventRecord->EventHeader.EventDescriptor.Id)

    {

    case 1://创建进程

        cout << "创建进程!进行创建进行的进程ID:" <<

            EventRecord->EventHeader.ProcessId <<

            ",线程ID:" <<

            EventRecord->EventHeader.ThreadId <<

            ",进程SessionID:" <<

            *(ULONG*)(((PUCHAR)EventRecord->UserData)+32)<<

            ",创建的进程ID:"<<

            *(ULONG*)(((PUCHAR)EventRecord->UserData) + 0) <<

            ",创建的进程路径:"<<

            Unicode_To_Ansi(  wstring((wchar_t*)(((PUCHAR)EventRecord->UserData) + 60)))

            <<endl;

        break;

    case 2://进程退出

        cout << "进程退出!进程ID:" <<

            EventRecord->EventHeader.ProcessId <<

            ",线程ID:" <<

            EventRecord->EventHeader.ThreadId <<

            ", 进程名:"<<

            ((LPSTR)EventRecord->UserData) + 84

            <<endl;

        break;

        cout << "进程ID:" << EventRecord->EventHeader.ProcessId << ",未知的行为:0x"<<hex<<EventRecord->EventHeader.EventDescriptor.Id << endl;

    default:

        break;

    }

}

void CloseEtw()

{

    ULONG l_result = StopTraceA(m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8));

    if (m_hTraceHandle != NULL)

    {

        CloseTrace(m_hTraceHandle);

    }

}

DWORD WINAPI OpenEtw(LPVOID lpThreadParameter)

{

    m_DoWhile = TRUE;

    _getcwd(m_File, sizeof(m_File));

    strcat(m_File, "\\MyFile.etl");

    m_TraceConfig.Wnode.BufferSize = 1024;

    m_TraceConfig.Wnode.Flags = WNODE_FLAG_TRACED_GUID;

    m_TraceConfig.Wnode.ClientContext = 3;

    m_TraceConfig.BufferSize = 1;

    m_TraceConfig.MinimumBuffers = 16;

    m_TraceConfig.LogFileMode = EVENT_TRACE_REAL_TIME_MODE;

    m_TraceConfig.LoggerNameOffset = 120;

    m_TraceConfig.FlushTimer = 1;

    RtlMoveMemory(m_pTraceConfig + 8, &m_TraceConfig, 120);

    RtlCopyMemory(m_pTraceConfig + 128, SESSION_NAME_FILE, sizeof(SESSION_NAME_FILE));

    RtlCopyMemory(m_pTraceConfig + 128 + sizeof(SESSION_NAME_FILE), m_File, strlen(m_File));

    RtlCopyMemory(m_pTraceConfig + 28, _Flag, sizeof(_Flag));

    ULONG l_result = StartTraceA(&m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8));

    if (m_hSessionHandle == NULL && l_result == ERROR_ACCESS_DENIED)

    {

        cout << "StartTraceA失败!原因:无管理员权限!" << endl;

        return 0;

    }

    else if (m_hSessionHandle == NULL && l_result == ERROR_ALREADY_EXISTS)

    {

     m_hSessionHandle = 44;//输入上一次终止时候的句柄

        CloseEtw();

        cout << "StartTraceA失败!原因:已经有Etw事件进行数据跟踪!请使用上方屏蔽代码关闭事件或者使用 计算机管理 停用事件:Sample_Process" << endl;

        ControlTraceA(m_hSessionHandle, SESSION_NAME_FILE, (PEVENT_TRACE_PROPERTIES)(m_pTraceConfig + 8), 1);

        return 0;

    }

    cout << "hSessionHandle: " << m_hSessionHandle << endl;

    const UCHAR m_ProcessGUID[] = { 214, 44, 251, 34, 123, 14, 43, 66, 160, 199, 47, 173, 31, 208, 231, 22 }; // PsProvGuid

    l_result = EnableTraceEx((LPCGUID)(m_ProcessGUID), 0, m_hSessionHandle, 1, 0, 16, 0, 0, 0);         //这里MatchAnyKeyword的64其实是0x40,表示 #KERNEL_KEYWORDS_IMAGE

    EVENT_TRACE_LOGFILEA m_Logfile;

    ZeroMemory(&m_Logfile, sizeof(m_Logfile));

    m_Logfile.LoggerName = SESSION_NAME_FILE;

    *((ULONG*)((PUCHAR)&m_Logfile + 20)) = 268439808;

    m_Logfile.EventRecordCallback = MyProcessRecordEvents;

    m_Logfile.Context = (PVOID)0x114514;//随便输入一个数就好了

    SetLastError(0);

    m_hTraceHandle = OpenTraceA(&m_Logfile);

    cout << "开始监视!" << endl;

    m_hTraceHandle_econt[0] = m_hTraceHandle;

    ULONG rc = ProcessTrace(m_hTraceHandle_econt, 1, 0, 0);

    return 0;

}

int main()

{

    CreateThread(NULL, NULL, OpenEtw, NULL, NULL, NULL);

    //Sleep(10000);

    system("pause");

    CloseEtw();

    return 0;

}

注意事项

  1. 必须给管理员权限

  2. 请正常退出(按任意键),否则Trace不会自己关

其他

作者(本人)水平有限,部分翻译可能有误,代码有问题可以直接回复我。

以后有时间可能会考虑翻译一下这个作者其他的关于Etw的例子,毕竟Etw实现的这些功能都很有意思,并且都比较高级。

C++实现ETW进行进程变动监控的更多相关文章

  1. zabbix3.0.4添加对指定进程的监控

    zabbix3.0.4添加对进程的监控: 主要思路: 通过 ps -ef|grep sdk-push-1.0.0.jar |grep -v grep|wc -l 这个命令来判断进程sdk-push是否 ...

  2. C#进程创建监控

    关于c#进程创建监控的文章大多都是“遍历一次进程用if去判断存在或否”这样的方法,我觉得体验不是很好.这几天写的一个软件正好需要实时监控进程创建的模块,在网上找到了很不错的方法,整理一下分享出来给大家 ...

  3. .NET Core项目部署到Linux(Centos7)(八)为.NET Core项目创建Supervisor进程守护监控

    目录 1.前言 2.环境和软件的准备 3.创建.NET Core API项目 4.VMware Workstation虚拟机及Centos 7安装 5.Centos 7安装.NET Core环境 6. ...

  4. 如何灵活运用Linux 进程资源监控和进程限制

    导读 每个 Linux 系统管理员都应该知道如何验证硬件.资源和主要进程的完整性和可用性.另外,基于每个用户设置资源限制也是其中一项必备技能. 在这篇文章中,我们会介绍一些能够确保系统硬件和软件正常工 ...

  5. Ubuntu 14.10 下运行进程实时监控pidstat命令详解

    简介 pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上 ...

  6. linux服务器内存、根目录使用率、某进程的监控告警脚本

    脚本内容如下 #!/bin/bash #磁盘超过百分之80发送邮件告警 DISK_USED=`df -T |sed -n "2p" |awk '{print ($4/$3)*100 ...

  7. Linux 运行进程实时监控pidstat命令详解

    简介 pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上 ...

  8. python 守护进程,监控进程

    守护进程代码: import time, os import subprocess def run(): while True: taskList = os.popen('tasklist').rea ...

  9. 进程实时监控pidstat命令详解

    pidstat主要用于监控全部或指定进程占用系统资源的情况,如CPU,内存.设备IO.任务切换.线程等.pidstat首次运行时显示自系统启动开始的各项统计信息,之后运行pidstat将显示自上次运行 ...

随机推荐

  1. Git批量下载MODIS数据

    1.download.sh获取 EarthData(需注册账号)中获取MODIS的产品类型.地理范围.时间年份等,进入下载页面Download Status 下载点击得到_download.sh 文件 ...

  2. python学习-Day8

    目录 作业讲解 数据类型内置方法3 字典 ( dict ,可变类型) 类型转换 -- dict() 需要掌握的方法 按key取值(可存可取) 统计字典中键值对的个数(len) 成员运算 删除键值对 获 ...

  3. HCNP Routing&Switching之MSTP

    前文我们了解了RSTP保护相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16255918.html:今天我们来了解下MSTP相关话题: MSTP技术背 ...

  4. 一文带你搞懂 Kafka 的系统架构(深度好文,值得收藏)

    Kafka 简介 Kafka 是一种高吞吐.分布式.基于发布和订阅模型的消息系统,最初是由 LinkedIn 公司采用 Scala 和 java 开发的开源流处理软件平台,目前是 Apache 的开源 ...

  5. JVM的类加载过程

    每日一句 人到情多情转薄,而今真个不多情. 每日一句 The frog in the well knows nothing of the great ocean. 井底之蛙,不知大海. JVM 的类加 ...

  6. Spring Boot中的微信支付(小程序)

    前言 微信支付是企业级项目中经常使用到的功能,作为后端开发人员,完整地掌握该技术是十分有必要的. logo 一.申请流程和步骤 图1-1 注册微信支付账号 获取微信小程序APPID 获取微信商家的商户 ...

  7. 前端1HTML

    内容概要 前端简介 HTTP简介 HTTP协议 HTML简介 head内常见标签 body内基本标签 body内特殊符号 body内常见标签 列表标签 表格标签 内容详情 前端简介 # 1.什么是前端 ...

  8. Citus 11 for Postgres 完全开源,可从任何节点查询(Citus 官方博客)

    Citus 11.0 来了! Citus 是一个 PostgreSQL 扩展,它为 PostgreSQL 添加了分布式数据库的超能力. 使用 Citus,您可以创建跨 PostgreSQL 节点集群透 ...

  9. VR技术的应用领域有哪些?

    5G时代已经到来,新技术的商用不仅能够为用户带来更快的网络连接速度,那些依靠网速的提升,而得以更快发展的科技企业,也迎来了新的发展契机. 这其中,尤为值得关注的是VR领域. 谈起VR,这并不算一个陌生 ...

  10. 你真的懂Python命名吗?

    转载请注明出处️ 作者:测试蔡坨坨 原文链接:caituotuo.top/7417a7f0.html 大家好,我是测试蔡坨坨. 今天,我们来聊一下Python命名那些事儿. 名为万物之始,万物始于无名 ...