Можно ли определить кто убивает процесс

Добрый день,
Проблема следующая: есть Windows приложение, которое на одной из машин в определенный случайный момент убивается. Почему и кем абсолютно не понятно. Никаких сообщений, записей в логах и т.п. - нет.
Возможно ли написать драйвер (или что-нибудь подобное), чтобы определить кто именно убивает процесс?

 

возможно

 

Конечно, можно. Хук на NtTerminateProcess и сравнение хендла с хендлом нужного процесса

 

А если его никто не убивает? Может он сам отваливается

 

Если он сам отваливается, то в конце концов он все равно для самого себя сделает NtTerminateProcess

 

Great

Ну а если поубивают его потоки?

 

SlyBit
PspExitProcess() из APC вызывается. Если поток делает к примеру xor esp,esp и юзает стек, то в этом случае ядро вызывает ZwTerminateProcess.

 

Great

Хэндл сравнивать не надо - он специфичен для каждого процесса. Надо сравнивать ID процесса (а вот как этот ID по HANDLE узнать - уже не помню).

 

Андрюша продолжает отжигать.

 

AndreyMust19

новую книжку прочитал? )))

 

Hellspawn
Скорее, главу про хэндлы

 

AndreyMust19
ну я имел в виду сравнивать либо пид либо PEPROCESS.
само собой что не хендлы)

 

Ну ребята, PEPROCESS, так PEPROCESS, а не "хэндлы". Хэндлы тоже разные бывают - писать надо более конкретно о чем идет речь.

 

AndreyMust19
ну очевидно же