windows - 安排一个任务来监视某个进程的启动

Question

我正在尝试将两个应用程序绑定(bind)在一起，这样当一个应用程序启动时，另一个应用程序也会启动。

我希望在事件 > 应用程序或类似的东西下的任务计划程序中找到它，但只有一些应用程序在那里有事件源。

于是研究发现可以通过注册WMI事件来检测进程启动。

Register-WMIEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 3 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'notepad.exe'" -sourceIdentifier 'NotepadStarted' -action {if(!(ps AutoHotKey)) { start Automator.ahk}}

然而，这意味着要一直运行，这意味着后台有一个 powershell.exe 进程，并且 WMI 每 3 秒轮询一次(WITHIN 3 - 是的，我确实需要它尽快响应) . PC 的功能足以胜任这项工作，但如果将来我想观看多个应用程序，这种方法可能会占用太多资源。

有没有更好的方法来监视 Windows 上的进程启动？无需在后台持续轮询或运行脚本，而是简单地安排一个任务来响应记事本已启动的事件？

Answer 1

我找到了一种通过审计的方法，它似乎工作正常。 我们试图让流程在它开始时引发一个事件，然后在任务计划程序中将该事件作为我们操作的触发器。

更新: Conjoined Twins - IFTTT-style application actions using auditing and scheduled tasks under Windows .这是一个 Powershell 脚本，可帮助您进行设置。

后期编辑: 好的，它确实会产生一些误报。该操作可能会在程序尚未实际执行的情况下触发。所以要小心。

转到您的 application.exe，右键单击 > 属性 > 安全选项卡 > 高级 > 审核选项卡 > 编辑

添加您的用户名并勾选遍历文件夹/执行文件。单击所有确定。 application.exe 的每次成功执行现在都会显示在事件查看器中。去那里看看:

事件查看器 > Windows 日志 > 安全 您可以过滤 EventID 4663 的当前日志

这是来 self 的机器的类似事件:

试图访问一个对象。

Subject:
  Security ID:    PC\Redacted
  Account Name:   Redacted
  Account Domain:   PC
  Logon ID:   0xxxxxxx

Object:
  Object Server:  Security
  Object Type:  File
  Object Name:  C:\Program Files\Some Application\application.exe
  Handle ID:  0x1e1c

Process Information:
  Process ID: 0x374
  Process Name: C:\Windows\explorer.exe

Access Request Information:
  Accesses: Execute/Traverse

  Access Mask:  0x20

你会看到不止一个，它不仅仅是一对一，1 个程序启动 = 1 个事件。还有A handle was open, A handle was closed事件。
在 Task Scheduler 中，您现在必须创建一个事件来定位程序启动。

创建新任务 > 触发器选项卡 > 新建

从下拉列表中选择开始任务:在某个事件上。

点击自定义单选按钮，然后点击编辑事件过滤器...按钮

在 XML 选项卡中勾选 手动编辑查询 并粘贴如下内容:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ObjectName'] and (Data='C:\Program Files\Some Application\application.exe')]]
  </Select>
  </Query>
</QueryList>

¹
图片和更多详细信息，请访问 Quick Development Tips: How to monitor a folder and trigger an action for incoming files, in Windows 7

一旦完成，剩下的就是设置您的Action，即您要在application.exe 启动时运行的程序。对我来说，这是一个 AutoHotKey 脚本 - 我只是单击“浏览”并导航到它。

现在，当我启动应用程序时，我会看到 AutoHotKey 脚本自动执行一些初始步骤。只创建一个包含 application.exe & script.ahk 的批处理文件是行不通的，因为有时应用程序从打开文件开始，有时它是由其他东西启动的，或者谁知道.这样无论它如何启动，script.ahk 都会发生。

¹ 旁注:这里有一个陷阱。此 XPath 查询适用于 Data='C:\no\wildcards\allowed.exe' 但您会失望地发现 can't use wildcards or any other kind of matching .因此，如果您想选择一个不移动或更改名称的文件，那很好。但是如果你想在你正在观看的文件夹中选择一个新创建的未知名称的文件 - 你不能。您最多可以执行 Data='variant1' OR Data='variant2'...