Приветствую. Понадобился сабж (точнее, запуск и завершение процессов), а то иногда бывает, что "что-то" запустится и сразу завершится, а непонятно, что это было. ProcessXP открытым постоянно не будешь же держать. Что-то похожее было на uinc.ru, но там просто тултип с именем процесса, а мне желательно полный путь к ехе, pid его и того, кто его запустил. Кто-то встречал такую утиль?
\KmdKit\examples\basic\Synchronization\SharedEvent - ProcessMon показывает путь и pid, если Four-F не против, можно добавить код получения родителя через NtQueryInformationProcess и вывод оформить в виде всплывающих подсказок (чтоб окно не маячило), по идее с пол часа работы и будет легкая утиль от которой сам не откажусь если решишь то пару примеров для этого в аттаче или может я вечером посижу 946822376__sample.zip
http://ms-rem.dot-link.net/hiddndt/files/phunter.rar Детектор скрытых процессов + логер запуска/завершения процессов с открытым исходным кодом. Для логинга запуска/завершения достаточно врубить режим детекта "Base driver"
yureckor Да, на нём остановился — неплохая утиль, только излишества есть. Ms Rem Смотрел, но не заметил, что есть лог. А так, хорошая штука. bogrus Исходники — это хорошо, если что не удовлетворяет в утили, всегда можно поправить самому. Всем спасибо, тему оставлю открытой — может кому понадобится.
<font color="gray][ bogrus</font><!--color--><font color="gray]: если Four-F не против ]</font><!--color--> Делайте что хотите - копирайтов нигде никаких нету.
