安排一个任务来监视某个进程的启动
Schedule a task to monitor a certain process start
我正在尝试将两个应用程序绑定在一起,这样当一个应用程序启动时,另一个应用程序也会启动。
我希望在事件 > 应用程序或类似的东西下的任务计划程序中找到它,但只有一些应用程序在那里有事件源。
于是我研究了一下,发现可以通过注册一个WMI事件来检测进程启动。
Register-WMIEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 3 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'notepad.exe'" -sourceIdentifier 'NotepadStarted' -action {if(!(ps AutoHotKey)) { start Automator.ahk}}
然而,这意味着一直 运行,这意味着后台有一个 powershell.exe 进程,并且 WMI 每 3 秒轮询一次(WITHIN 3 - 是的,我确实需要它尽快回复)。 PC已经够用了,但如果以后我想看一个以上的应用程序,这种方法可能会占用太多资源。
是否有更好的方法来观察 Windows 上的进程启动?无需在后台连续轮询或 运行 运行脚本,而是简单地安排一个任务来响应记事本已启动的事件?
我找到了一种通过审计的方法,它似乎工作正常。
我们试图让进程在启动时引发事件,然后在任务计划程序中将该事件作为我们操作的触发器。
更新: Conjoined Twins - IFTTT-style application actions using auditing and scheduled tasks under Windows。这是一个 Powershell 脚本,可帮助您进行设置。
后期编辑: 好的,它确实产生了一些误报。该操作可能会在程序尚未实际执行的情况下触发。所以要小心。
转到您的 application.exe,右键单击 > 属性 > 安全选项卡 > 高级 > 审核选项卡 > 编辑
添加您的用户名并勾选遍历文件夹/执行文件。单击所有确定。 application.exe 的每次成功执行现在都会显示在事件查看器中。去那里看看:
事件查看器 > Windows 日志 > 安全
您可以筛选 EventID 4663
的当前日志
这是来自我的机器的类似事件:
试图访问一个对象。
Subject:
Security ID: PC\Redacted
Account Name: Redacted
Account Domain: PC
Logon ID: 0xxxxxxx
Object:
Object Server: Security
Object Type: File
Object Name: C:\Program Files\Some Application\application.exe
Handle ID: 0x1e1c
Process Information:
Process ID: 0x374
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: Execute/Traverse
Access Mask: 0x20
你会看到不止一个,它不仅仅是一对一,1 个程序启动 = 1 个事件。还有 句柄打开,句柄关闭 事件。
在 Task Scheduler 中,您现在必须创建一个事件以启动程序。
创建新任务 > 触发器选项卡 > 新建
Select 开始任务:从下拉列表中的事件。
单击 自定义 单选按钮,然后单击 编辑事件过滤器... 按钮
在 XML 选项卡中勾选 手动编辑查询 并粘贴如下内容:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ObjectName'] and (Data='C:\Program Files\Some Application\application.exe')]]
</Select>
</Query>
</QueryList>
中的图片和更多详细信息
完成此操作后,剩下的就是设置您的 Action,当 application.exe 启动时您想要 运行 的程序。对我来说,这是一个 AutoHotKey 脚本 - 我只是单击浏览并导航到它。
现在,当我启动应用程序时,我会看到 AutoHotKey 脚本自动执行一些初始步骤。只创建一个包含 application.exe & script.ahk 的批处理文件是行不通的,因为有时应用程序从打开文件开始,有时它是由其他东西启动的,或者谁知道。这样无论它如何开始,都会发生script.ahk。
¹ 旁注:这里有一个问题。此 XPath 查询适用于 Data='C:\no\wildcards\allowed.exe',但您会失望地发现您 can't use wildcards or any other kind of matching。因此,如果您想 select 一个不移动或更改名称的文件,那很好。但是,如果你想 select 在你正在观看的文件夹中新建一个名称未知的文件 - 你不能。最多可以做到 Data='variant1' OR Data='variant2'...
请记住,为此使用任务计划程序需要启用对 ALL 的审核! OS 级别的进程。这会产生相当高的负载。
为了监控单个进程,我建议创建一个“永久的 WMI 事件触发器”。详情见此处:https://learn-powershell.net/2013/08/14/powershell-and-events-permanent-wmi-event-subscriptions/
作为“消费者”,您需要创建一个小的 VBscript 作为启动另一个进程的“ActiveScriptEventConsumer”。
我正在尝试将两个应用程序绑定在一起,这样当一个应用程序启动时,另一个应用程序也会启动。
我希望在事件 > 应用程序或类似的东西下的任务计划程序中找到它,但只有一些应用程序在那里有事件源。
于是我研究了一下,发现可以通过注册一个WMI事件来检测进程启动。
Register-WMIEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 3 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'notepad.exe'" -sourceIdentifier 'NotepadStarted' -action {if(!(ps AutoHotKey)) { start Automator.ahk}}
然而,这意味着一直 运行,这意味着后台有一个 powershell.exe 进程,并且 WMI 每 3 秒轮询一次(WITHIN 3 - 是的,我确实需要它尽快回复)。 PC已经够用了,但如果以后我想看一个以上的应用程序,这种方法可能会占用太多资源。
是否有更好的方法来观察 Windows 上的进程启动?无需在后台连续轮询或 运行 运行脚本,而是简单地安排一个任务来响应记事本已启动的事件?
我找到了一种通过审计的方法,它似乎工作正常。 我们试图让进程在启动时引发事件,然后在任务计划程序中将该事件作为我们操作的触发器。
更新: Conjoined Twins - IFTTT-style application actions using auditing and scheduled tasks under Windows。这是一个 Powershell 脚本,可帮助您进行设置。
后期编辑: 好的,它确实产生了一些误报。该操作可能会在程序尚未实际执行的情况下触发。所以要小心。
转到您的 application.exe,右键单击 > 属性 > 安全选项卡 > 高级 > 审核选项卡 > 编辑
添加您的用户名并勾选遍历文件夹/执行文件。单击所有确定。 application.exe 的每次成功执行现在都会显示在事件查看器中。去那里看看:
事件查看器 > Windows 日志 > 安全 您可以筛选 EventID 4663
的当前日志这是来自我的机器的类似事件:
试图访问一个对象。
Subject:
Security ID: PC\Redacted
Account Name: Redacted
Account Domain: PC
Logon ID: 0xxxxxxx
Object:
Object Server: Security
Object Type: File
Object Name: C:\Program Files\Some Application\application.exe
Handle ID: 0x1e1c
Process Information:
Process ID: 0x374
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: Execute/Traverse
Access Mask: 0x20
你会看到不止一个,它不仅仅是一对一,1 个程序启动 = 1 个事件。还有 句柄打开,句柄关闭 事件。
在 Task Scheduler 中,您现在必须创建一个事件以启动程序。
创建新任务 > 触发器选项卡 > 新建
Select 开始任务:从下拉列表中的事件。
单击 自定义 单选按钮,然后单击 编辑事件过滤器... 按钮
在 XML 选项卡中勾选 手动编辑查询 并粘贴如下内容:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ObjectName'] and (Data='C:\Program Files\Some Application\application.exe')]]
</Select>
</Query>
</QueryList>
完成此操作后,剩下的就是设置您的 Action,当 application.exe 启动时您想要 运行 的程序。对我来说,这是一个 AutoHotKey 脚本 - 我只是单击浏览并导航到它。
现在,当我启动应用程序时,我会看到 AutoHotKey 脚本自动执行一些初始步骤。只创建一个包含 application.exe & script.ahk 的批处理文件是行不通的,因为有时应用程序从打开文件开始,有时它是由其他东西启动的,或者谁知道。这样无论它如何开始,都会发生script.ahk。
¹ 旁注:这里有一个问题。此 XPath 查询适用于 Data='C:\no\wildcards\allowed.exe',但您会失望地发现您 can't use wildcards or any other kind of matching。因此,如果您想 select 一个不移动或更改名称的文件,那很好。但是,如果你想 select 在你正在观看的文件夹中新建一个名称未知的文件 - 你不能。最多可以做到 Data='variant1' OR Data='variant2'...
请记住,为此使用任务计划程序需要启用对 ALL 的审核! OS 级别的进程。这会产生相当高的负载。
为了监控单个进程,我建议创建一个“永久的 WMI 事件触发器”。详情见此处:https://learn-powershell.net/2013/08/14/powershell-and-events-permanent-wmi-event-subscriptions/ 作为“消费者”,您需要创建一个小的 VBscript 作为启动另一个进程的“ActiveScriptEventConsumer”。