监控进程的创建和终止

Question

我试图监视任何进程的创建和终止，而无需管理员权限的！ 我发现很多贴例子像这样的：

// query every 2 seconds 
string pol = "2"; 

WqlEventQuery queryString = new WqlEventQuery(
    "SELECT *" + 
    " FROM __InstanceOperationEvent " + 
    "WITHIN " + pol + 
    " WHERE TargetInstance ISA 'Win32_Process' "); 

// You could replace the dot by a machine name to watch to that machine 
ManagementScope scope = new ManagementScope(@"\\.\root\CIMV2"); 

// create the watcher and start to listen 
watcher = new ManagementEventWatcher(scope, queryString); 
watcher.EventArrived += OnEventArrived; 
watcher.Start(); 

如果我只收到我可以确定某个进程启动或停止的事件，但如果我尝试消耗OnEventArrived的e.NewEvent.Property["ProcessName"].Value我在遇到麻烦访问权限。

我的问题是现在： 为什么我能收到一般的创建和终止的信息，但如果我想获得细节出了大事我成为制约？

我可以使用Process.GetProcesses()和比较前面任何价值，我得到我自己的信息，这样我就可以无论如何得到这个信息。这似乎并不像我应该需要访问权限。

Answer 1

访问某些过程，必须有特定进程创建管理员权限，或可以访问在关注过程中的组内所存在的管理员帐户。

“无法单独通过进程名称访问进程资源，但是，一旦检索到与进程资源相关联的进程组件的数组，您就可以启动，终止或以其他方式处理系统资源。”

来自：https://msdn.microsoft.com/en-us/library/z3w4xdc9(v=vs.110).aspx

本质上，的处理的阵列必须被在C＃阵列访问和修改的过程创建。

过程的细节很可能需要更高的访问级别或权限。到对象的访问是基于不同的水平，如信息，错误，等。通常，使用Windows身份验证时，用户的任何其它类型的修饰可发生之前需要访问权到该对象。