Dear all:
之前常看到很多enumerate system processes的文章, 回頭來現在我發現一個比較kernerl的問題, 就是如何動態偵測到系統現在有1個process正被執行起來, 如同task manager一樣, 而不是被動的讓user去button click後再去enumerate系統中所有的processes, 請問這樣的一個moniter的機制怎麼implement,請賜教，謝謝~

有無試過 API Hook 前置處理 CreateProcess 等相關函式？

Dear syntax:

感謝大大回覆:), 嗯嗯, 的確這是很可能的一種作法, 我目前當未如此實作:d, 因為我想:
1. 詢問出一種最可能的standard作法, 這作法可能是最安全或甚至是MS recommand的:)(此時我也考量以HookAPI實作一release application的話,此風險的大小)

2.其實我最終想在CE上implemnet, 但CE好像不讓end user搞hook這東東, 所以不曉得還有沒有招可用:)~

以上, 再次感謝syntax大大的回覆, 也再等待看看還有沒有其他大大有新的奇招:)~