親プロセスが終了した場合に子プロセスの親プロセスを見つける方法
親プロセスが終了した後でも、どのプロセスが他のプロセスを開始したかを確認する方法はありますか?
PowerShellを介してWin32_Process classで何かを見つけようとしましたが、関連するものは見つかりませんでした。
プロセスの詳細を取得するには、次のコマンドを実行してください。
C:\>wmic process list /format:list > process.txt
そしてprocess.txt孤立したプロセスをProcessIDで見つけ、それらのParentProcessIDを取得することもできます。
Win32_Process WMIクラスdoes子プロセスを生成したプロセスのIDを示します。ただし、ParentProcessIDはデフォルトのプロパティセットの一部ではありません。あなたは特にそれを求めなければなりません。
PS C:\> Get-WmiObject Win32_Process | Select ProcessID, ParentProcessID | FT -Auto
ProcessID ParentProcessID
--------- ---------------
0 0
4 0
364 4
520 452
576 452
592 584
632 576
640 576
724 632
776 632
840 584
932 632
956 632
1020 632
324 840
508 632
436 632
1120 632
1276 632
ただし、grandparentプロセスIDは追跡されないことに注意してください。