2015-05-05
245
Мониторинг выполняющихся в системе процессов – основа всех приложений для наблюдения за работой информационных систем и их пользователей. Для отслеживания появления в системе новых приложений или завершения выполнявшихся можно использовать два способа:
1) периодическое выполнение снимка состояния системы и его анализ, для чего приложение, рассмотренное в п.1.1.1, подключается к обработчику прерываний таймера, (это просто, но неэффективно – приложения периодически не запускаются и не завершаются);
2) подключение к процедуре запуска и завершения процессов с помощью функции ядра PsSetCreateProcessNotifyRoutine(), описанной в Windows DDK, путем регистрации функции обратного вызова, (это более эффективно, но требует разработки драйвера режима ядра).
ДОПОЛНИТЕЛЬНЫЕ ФУНКЦИИ
Цель работы – практическое знакомство с методикой использования функций Win32 API для получения дополнительной информации о процессах, потоках, модулях и драйверах ОС Windows XP.
Краткие теоретические сведения
