我正在使用WMI来跟踪进程创建链(进程1.exe创建进程2.exe,2.exe创建3.exe等)。一切正常,除了当创建一个进程时,我试图从接口的Indicate()方法中发出另一个ExecNotificationQueryAsync(),该方法被查询
SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.ParentProcessId = 1234
其中父进程ID设置为导致此调用的进程的PID(Win32_Process.ProcessId),而不是在我为当前查询调用CancelAsyncCall()之前。查询的语法是正常的,因为它第一次工作正常,但是一旦我用新的父PID发出ExecNotificationQueryAsync(),就不再调用Indicate(),尽管正在创建该进程。
我做错了什么?