お世話になります。
setwindowshook (WH_SHELL) を使ってメッセージフックを行い、
アプリケーション起動を検知して、そのタイミングで DLL インジェクションを行っています。
1つ問題があり、cmd.exe や powershell.exe や、コンソールアプリケーションが setwindowshook (WH_SHELL)
だとメッセージフックできず、起動したことが分かりません。
定期的にプロセス一覧を取得→ cmd.exe やその子プロセス があったら CreateRemoteThread() を用いて
DLL インジェクションはできるのですが、プロセス一覧を常に取得し続ける負荷が高く、困っています。
コンソールアプリケーションの起動を何らかの方法で検知できないでしょうか。
宜しくお願い致します。
