EXE-Hook
-
Hi,
gibt es eigntlich einen Hook, oder Ereignis, oder was anderes, womit man feststellen kann ob EXE-Dateien gestartet wurden, entweder von Explorer, per Konsole, oder vom anderen Programm?
-
Sowas ist mir nur für ShellExecute bekannt. Dazu mußt Du IShellExecuteHook implementieren. Alle Aufrufe, die direkt an CreateProcess gehen, laufem aber an diesem Hook vorbei.
Du könntest Dir auch einen kleinen Treiber schreiben und per PsSetCreateProcessNotifyRoutine eine Callback-Funktion registrieren.
-
-King- schrieb:
Sowas ist mir nur für ShellExecute bekannt. Dazu mußt Du IShellExecuteHook implementieren. Alle Aufrufe, die direkt an CreateProcess gehen, laufem aber an diesem Hook vorbei.
Und an der Konsole.
Du könntest Dir auch einen kleinen Treiber schreiben und per PsSetCreateProcessNotifyRoutine eine Callback-Funktion registrieren.
Danke, das werde ich nachher ausprobieren.