Перехват запущенных приложений

Нужен инструмент. Что то вроде Process Monitor от Sysinternals. Только надо отслеживать не процессы, а запуск приложений другим заданным приложением и параметры командной строки, которые передаются при запуске.
Что посоветуете?

 

Process Monitor от Microsoft

 

Api monitor от Rohitab, перехватывает запуск, можно разрешать или даже поменять какие-то параметры.

 

Process Monitor это совсем не то. Не показывает параметров командной строки. И он показывает не запущенные приложения, а висящие в памяти службы.

Api monitor - да, работает если поставить хук на CreateProcessA. Но есть "но". У меня очень длинная строка параметров, и он ее режет.

 

paskal,

Свой напиши, там десяток апи и пол часа работы.

 

Ох уж эти неуверенные пользователи Windows

 

Вы вообще о чем?

 

Indy_, чтоб такое закодить, драйвер нужен же? Или как с юзермода сделать, глобальный перехват NtCreateProcess, как?

ormoulu, мб перепутал с Process Explorer ?

 

M0rg0t,

Вставить свой код в нэйтив, любой процесс будет контролируем на этапе инит.

 

Indy_, но куда? Инжектить в эксплорер и везде?

 

M0rg0t,

Изменить например ntdll, но это нэйтив - скилл для этого нужен соотв., тк загрузка пойдёт во всю систему все процессы, при этом юзер ртл будет не доступен, сложно короче. Есть есчо средства системные, но привязаны к имени апп, задача не чётко сформулирована.