스크립트가 실행되기 시작할 때 Register-WmiEvent를 사용하여

Question

전 PS에 완전히 익숙하지 않아 스크립트가 발견되면 Foo라고하는 방법을 생각해 냈습니다. (ps1 | pl | py | bar) 실행을 시작하여 해당 이벤트에 대한 powershell 스크립트를 실행할 수 있습니다. 나는 MSDN에서 다음 예제를 사용하여 시작했고 PS 실행을 제외한 모든 것을 필터링하기 위해 if 문을 추가했습니다. 파워 쉘 인스턴스가 시작될 때

$Query = 'SELECT * FROM Win32_ProcessStartTrace'    
$action = {    
    $e = $Event.SourceEventArgs.NewEvent 
    if($e.ProcessName -eq "powershell.exe") {   
     $fmt = 'ProcessStarted: (ID={0,5}, Parent={1,5}, Time={2,20}, Name="{3}")'    
     $msg = $fmt -f $e.ProcessId, $e.ParentProcessId, $event.TimeGenerated, $e.ProcessName    
     Write-host -ForegroundColor Red $msg    
    } 
}    
Register-WmiEvent -Query $Query -SourceIdentifier ProcessStart -Action $Action 

이제 코드 탐지,하지만 난에 액세스하고 인스턴스에 전달 된 인수를 필터링 할 수있는 방법을 발견하지 않았습니다. Foo 스크립트에 대해 다른 PS 스크립트가 아닌 조치 만 취하도록하고 싶습니다. 시작된 powershell 프로세스에 대한 인수에 액세스 할 수있는 방법이 있습니까?

Answer 1

이 사용 해보세요, 당신은 새로운 프로세스의 명령 줄 속성에 대해 스크립트를 일치하도록 시도 할 수 있습니다 :

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 2 WHERE TargetInstance isa 'Win32_Process'" -SourceIdentifier NewPSProcess -Action { 
    $e = $EventArgs.NewEvent.TargetInstance 
    if($e.Name -eq 'powershell.exe') 
    { 
     #if($e.CommandLine -match 'yourScript') { ... } 
     Write-host $e.CommandLine 
    } 
} 

sleep 5 
powershell -file c:\test.ps1 

UPDATE 여기
만 powershell.exe를 프로세스 생성을 캡처 업데이트 코드 (의 쿼리 수준에서) 명령 줄 값을 텍스트 파일에 씁니다. 필자는 cmd로 작성된 모든 powershell 프로세스 생성물을 파일에 기록했습니다.

$query = 'Select * From __InstanceCreationEvent Within 2 Where TargetInstance Isa "Win32_Process" And TargetInstance.Name = "powershell.exe"' 
Register-WMIEvent -Query $query -SourceIdentifier NewPSProcess -Action { 
    $EventArgs.NewEvent.TargetInstance.CommandLine | Out-File D:\scripts\temp\psevent.txt -Append 
}