当前位置：首页 > 编程日记 > 正文

WMI技术介绍和应用——Event Provider

编程日记 2024-12-09 23:30:00

在《WMI技术介绍和应用——Instance/Method Provider》一文中，我们介绍了Instance和Method Provider的编写方法。本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中，我们曾经提到事件是分为两种：intrinsic event和extrinsic event。这两种事件提供者在编写上也非常类似，我们先以extrinsic event为例。（转载请指明出于breaksoftware的csdn博客）

intrinsic event provider

之前生成工程的过程和《WMI技术介绍和应用——Instance/Method Provider》中介绍的一致，但是我们这次要新增的ATL class则不同

在”名称“页，我们在short name中填上我们事件提供者的名称”TestEvent"，其他输入框内容将自动生成。

事件类型我们选择extrinsic event，其他不填

在“属性”页，将Threading model设置为Both。Support选项都勾选上

执行完之后，我们就生成了一个mof文件、一个TestEvent.h和TestEvent.cpp文件。我们继续从mof文件入手，我们申明一个事件类

[Locale(1033) : ToInstance,UUID("{E5EDE7F6-D9F9-4195-8E97-643B71F2FB91}") : ToInstance] 
class ClassEventInstance: __ExtrinsicEvent 
{
string name = "CIN";
string value = "CIV";
};

然后注册一个事件提供者，并指定查询命令

instance of __EventProviderRegistration
{provider = $TestEvent;EventQueryList = {"select * from ClassEventInstance"};
};

再回到cpp代码文件，首先我们要修改类名

const static WCHAR * s_pMyClassName = L"ClassEventInstance";

其次我们要修改AccessCheck函数，删除掉这行，否则我们查询不会成功

hr = WBEM_E_ACCESS_DENIED;

我们需要修改ProvideEvents函数，在该函数末尾新增如下逻辑

    HANDLE hThread = (HANDLE)_beginthread(ThreadRoutine, 0, this);CloseHandle(hThread);

我们启动一个线程，用于事件的发送。我们传入this指针只是为了之后调用我们类中的一个方法。我们看下线程函数

static void ThreadRoutine(void* param) {OutputTrace("CTestEvent::ThreadRoutine");CoInitializeEx(NULL, COINIT_MULTITHREADED);CTestEvent* pThis = (CTestEvent*)(param);while(true) {Sleep(1000*2);pThis->FireEvent();}CoUninitialize();
};

这段逻辑，我们在一个死循环中每隔两秒钟触发一次事件——FireEvent。FireEvent本来是模板自动生成的，而我们借用它实现事件的触发。这儿需要注意一个文件，本文主要讲解搭建的关键步骤，而对很多其他细节和安全问题没有做过多处理，否则就喧宾夺主了。比如本文中所提到的线程执行函数，其实存在线程安全问题，而我又不想引入COM跨线程问题，所以就如此简单粗暴的编写。

STDMETHODIMP CTestEvent::FireEvent()
{HRESULT hr = WBEM_S_NO_ERROR;ATLASSERT(m_pEventClass);CComPtr<IWbemClassObject> pInstance;hr = m_pEventClass->SpawnInstance(0, &pInstance);if(FAILED(hr)) {return hr;}CComVariant value;value.vt = VT_BSTR;value.bstrVal = CComBSTR("notepad.exe");pInstance->Put(L"name", 0, &value, 0);return m_pSink->Indicate(1, &(pInstance.p) );
}

我们Spawn一个实例，然后填充它的一些属性，最后将该对象放入客户端可以访问的sink中。
我们使用之前实现的查询类查询该事件

    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM ClassEventInstance", hEvent);recvnotify.ExcuteFun();

我们即可以看到结果

extrinsic event provider

extrinsic event provider实现讲完了，我们再讲讲intrinsic event provider。工程向导方面和extrinsic event provider基本相同，只是在WMI Class页中选择intrinsic event。我们对新的provider取名为IntrinsicEvent。我们也从mof入手，看看怎么修改

[
dynamic : ToInstance, 
provider("IntrinsicEvent") : ToInstance, // uses the TestInstance Provider
ClassContext("whatever!"),          // information is dynamically// supported by the provider
DisplayName("IntrinsicClassInstance"): ToInstance
]                                    class IntrinsicClassInstance 
{
[key]
string name = "CIN";
[PropertyContext("IntrinsicClassInstance_Member")]
string value = "CIV";
};

首先我们定义Event的类名——IntrinsicClassInstance，并申明其有两个属性——name和value。其次我们我们修改下事件提供者注册对象

instance of __EventProviderRegistration
{provider = $IntrinsicEvent;EventQueryList = {"select * from __InstanceCreationEvent where TargetInstance isa \"IntrinsicClassInstance\""};
};

从WQL的写法我们可以发现，这种写法和检测进程创建的Win32_Process类类似，这就是内部（Intrinsic）事件的特点。cpp的修改和extrinsic event provider中介绍的过程类似，只是Intrinsic没有FireEvent方法，那我们就自己申明和定义一个

STDMETHODIMP CIntrinsicEvent::FireEvent()
{HRESULT hr = WBEM_S_NO_ERROR;ATLASSERT(m_pEventClass);CComPtr<IWbemClassObject> pInstance;hr = m_pDataClass->SpawnInstance(0, &pInstance);if(FAILED(hr)) {OutputTrace("CIntrinsicEvent::FireEvent1");return hr;}CComVariant value;value.vt = VT_BSTR;value.bstrVal = CComBSTR("notepad.exe");pInstance->Put(L"name", 0, &value, 0);CComPtr<IWbemClassObject> pEventInstance;hr = m_pEventClass->SpawnInstance(0, &pEventInstance);if(FAILED(hr)) {return hr;}CComVariant varTargetInst(pInstance);pEventInstance->Put(L"TargetInstance", 0, &varTargetInst, 0);return m_pSink->Indicate(1, &(pEventInstance.p) );
}

我们将新生成的实例放入到pEventInstance实例的"TargetInstance"中，这也和上面的WQL的“TargetInstance isa \"IntrinsicClassInstance\"”相对应。pEventInstance实例的类是我们在模板基础上新增的，我们要修改Initialize函数，新增

hr = m_pNamespace->GetObject(CComBSTR("__InstanceCreationEvent"), 0, pCtx, //passing IWbemContext pointer to prevent deadlocks&m_pEventClass, NULL);
if (FAILED(hr)) {return hr;
}

我们使用如下代码访问该事件

    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'IntrinsicClassInstance'", hEvent);recvnotify.ExcuteFun();

我们可以得到如下结果

工程链接：http://pan.baidu.com/s/1o6QcgPW 密码：4l5v

https://www.dkcj.cn/info/31135.html

WMI技术介绍和应用——Event Provider

intrinsic event provider

extrinsic event provider

相关文章：

Windows server 2003 IP路由配置

人工智能的下一个前沿：识别“零”和“无”

File Operations In Java

Cascade RPN，结构的艺术带来极致提升 | NeurIPS 2019

IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]

WMI技术介绍和应用——Event Consumer Provider

shell练习四

WMI技术介绍和应用——总结（完）

2020年，大火的Python和JavaScript是否会被取而代之？

WaveSwipeRefreshLayout

Google Test(GTest)使用方法和源码解析——概况

Reddit票选 | 2019年绝对不能错过的机器学习论文

ASP中的常用服务器检测源码

选IDC房时，用脚本截取丢失包和rtt的值作比对

Google Test(GTest)使用方法和源码解析——自动调度机制分析

D3D中简单的截图方法 (转)

2019年，自动化机器学习AutoML技术还火吗？ | BDTC 2019

第一次使用51cto博客

Google Test(GTest)使用方法和源码解析——结果统计机制分析

贾扬清感谢信：阿里开源10年，致敬千万开源人

热烈庆祝我国神七发射成功！

云计算设计模式（十）——守门员模式

“不会Linux，怎么干程序员？”骨灰级工程师：干啥都不行！

Google Test(GTest)使用方法和源码解析——Listener技术分析和应用

SSH连接不上Linux的解决方法

熬夜翻译完的PureFTPd配置文件

挑战NLP、量子计算难题，300多支本科生队伍同场角逐，2020 ASC超算竞赛一触即发...

Google Test(GTest)使用方法和源码解析——断言的使用方法和解析

精品软件推荐硬盘物理序列号修改专家

知识图谱实体链接是什么？一份“由浅入深”的综述