Как отслеживать запуск программ без драйверов и хуков?

Такое реально реализовать неперебирая тупо в цикле все наявные процессы?

 

Поставить юзермодные нотификаторы

Код (Text):

1. NTSTATUS
2. CreateProcessNotify (
3.   LPCWSTR lpApplicationName,
4.   ULONG uReason);

На RSDN был топик с описанием и статья у x64 http://x64.blog.ru/86096739.html

 

Там вообще то как раз и описывается внедрение ддлки,и драйвер.

 

Ну если ты знаешь другие юзермодные способы нотификации запускаемых процессов, то обрисуй пжлста .

 

В драйвере можно нотификатор установить. Про юзермод не было ни слова.

 

А как же название моей темы ( ??? неужели нельзя этого сделать не внедрея дллки и устанавливая свои драйвера?

 

В юзермоде WMI/ETW.

 

ИМХО WMI это бред. На старых версиях хрюши к примеру вообще нету.

 

_nic
Да там дров будет 5 строчек.

 

d2k9
Не бред, системный логгер это мощный механизм, который много инфы позволяет получить и в ядре свапконтексты и пр. хватать

 

а можно по подробней?

 

http://msdn.microsoft.com/en-us/library/aa964766(VS.85).aspx

 

мне гугл сказал то же самое.Но вот примеров на С он мне не показал.СОбственно в этом и состоял мой вопрос выше.

 

Маэстро минусдейный вирусных техник ссучился?

proof-link http://rootkits.su/viewtopic.php?id=833


_nic
Ключ AppCertDll
http://www.rsdn.ru/forum/asm/2300364.flat.2.aspx

 

В догонку http://worobow.spaces.live.com/

 

reader323
\wrk..\wmi\
Это наверно один из легальных способов вытягивать инфу из системы в юзермоде, такую как список проецируемых модулей в процесс, который есчо аверами не запален вроде как.

 

WMI редкостно тормозящее дерьмо, которое можно иметь во все дырки.

 

d2k9
Обоснуйте. Что есть ETW ?

 

Бли ну вконец запутали Нельзя же так Мне хоть в эту сторону http://msdn.microsoft.com/en-us/library/aa389276(VS.85).aspx копать???

 

Гм я так понял WMI требует админские привелегии.Как же мне тогда получить нужную инфу на висте и выше??