我正在编写一个围绕Sysinternal的ProcDump的包装器,我希望它也可以转储初始进程的衍生子进程。有没有简单的方法可以做到这一点,还是我必须在CreateProcess上进行某种API挂钩?
答案 0 :(得分:0)
在this answer中,我解释了为什么没有简单的方法。该问题的另一个答案为您提供了最接近的解决方案的代码。
您需要挂钩CreateProcess,CreateProcessAsUser,CreateJob,ShellExecute,ShellExecuteEx以及其他人。