Windows WMI-Win32_ProcessStartTrace和__InstanceCreationEvent之间有什么区别(和顺序)?

时间:2019-12-11 14:14:23

标签: c++ c windows winapi

刚刚开始使用WMI,我试图了解 Win32_ProcessStartTrace __ InstanceCreationEvent 之间的区别。当新进程开始时,它们都可用,但是哪个是第一个?

我已经测试了Microsoft提供的几个示例,除了一个提供了有用的信息而另一个没有提供信息之外,我看不到任何主要区别,例如性能问题。 (或者是吗?)

Win32_ProcessStartTrace__InstanceCreationEvent的记录来看,我们可以看到很大的不同,因为Win32_提供了更多详细信息,例如ProcessID,而__Instance没有。

如果要有效地(异步地)监视流程创建,应使用这2种方法中的哪一种?

必须获取有关流程的信息,至少是ProcessID。

非常感谢您提供一个很好的解释,我相信其他人也有兴趣。

1 个答案:

答案 0 :(得分:1)

_InstanceCreationEvent有一个TargetInstance字段,对于一个新进程,它是一个Win32_Process对象,它具有与Win32_ProcessStartTrace提供的大多数相同(或更多)字段。