C# 挂钩 Windows 进程以检查调试进程

Question

我想知道是否有一种方法可以挂接 Windows 进程来检查是否有任何可疑程序正在运行，例如（Wireshark、Fiddler、OllyDBG 等）。

我想挂钩 Windows 进程，以便在检测到不需要的进程时关闭客户端或实时弹出消息。

如果你们能为我提供任何执行此操作的链接，那就太好了。

谢谢！

Answer 1

Process[] processlist = Process.GetProcesses();

然后遍历列表并根据需要执行您不想运行的应用程序。

Answer 2

您可以使用 Win32_Process。每个进程都会创建一个 Win32_Process 实例，因此查看新实例将告诉您（近乎）实时的进程创建情况。

要接收 WMI 创建事件，请参阅此页面：http://msdn。 microsoft.com/en-us/library/system.management.eventquery.aspx（编辑：不同的链接，现在以 C# 为例）。

Answer 3

EnumWindows 枚举所有顶级窗口。

而且您不想将 C# dll 注入其他进程。这需要将 .net 运行时加载到该进程中。这会浪费 RAM，并且如果该进程是使用不同版本的 .net 的 .net 应用程序，则会出现版本控制问题。特别是如果您的 dll 在进程加载其自己的 .net 版本之前被注入。

您希望通过注入从外部无法实现的流程来实现什么？

Answer 4

您可能想查看 CodePlex 上的 EasyHook (http://easyhook.codeplex.com)。 这里是一些讨论，据报道人们已经能够挂钩 CreateProcess。如果您设法连接到该 API 函数，您就可以在创建时知道创建的进程。