AHK: Параметры запущенного приложения

Реализация на AutoIt

Реализация на AutoHotKey, но на английском, с которым совсем туго

Более конкретный вариант.

И не должно!

О, этот вариант гораздо более рационален, благодарю 

Так нельзя, вот список возвращаемых данных. Я бы получал её как и писал в той теме.

Не знаю такого.

В режиме пользователя это обычно реализуется через перехват функции ZwCreateThread во всех процессах. На AHK это довольно неудобно делать . Если нужно только зарегистрировать сам факт создания процесса, то можно включить аудит процессов в политике аудита windows и читать лог.
Mih, судя по вопросам тебе нужно на "си" переходить .

alexii, спасибо, действительно ProcMon показывает такие, я не пользовался им и не знал этого.
Александр_, спасибо тоже за дружеские советы, —

но не до си мне,
не до си, да.

Код для AHK_L, можно переписать и под оригинальный:

;константы
ProcessBasicInformation   := 0
PROCESS_QUERY_INFORMATION := 0x0400
PROCESS_VM_READ           := 0x0010
;функции
;открытие процесса
OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId)
{
   return DllCall("OpenProcess", "uint", dwDesiredAccess, "int", bInheritHandle, "uint", dwProcessId, "uint")
}
;получение информации о процессе
ZwQueryInformationProcess(ProcessHandle, ProcessInformationClass, ProcessInformation, ProcessInformationLength, ReturnLength)
{
   return DllCall("ntdll.dll\ZwQueryInformationProcess","uint", ProcessHandle, "uint", ProcessInformationClass, "uint", ProcessInformation, "uint", ProcessInformationLength, "uint", ReturnLength, "uint")
}
;чтение данных из процесса
ReadProcessMemory(hProcess, lpBaseAddress, lpBuffer, nSize, lpNumberOfBytesRead)
{
   return DllCall("ReadProcessMemory", "uint", hProcess, "uint", lpBaseAddress, "uint", lpBuffer, "uint", nSize, "uint", lpNumberOfBytesRead)
}

Process Exist ;, calc.exe
msgbox % GetProcCurrentDirectory(ErrorLevel) ;%
return 
;получает текущую директорию процесса по его PID'у
GetProcCurrentDirectory(pid)
{
   global ProcessBasicInformation, PROCESS_QUERY_INFORMATION, PROCESS_VM_READ
   hProc := OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, 0, pid)
   if (hProc=0)
   {
      return Error
   }
   VarSetCapacity(ProcessInformation, 0x18) ; под PROCESS_BASIC_INFORMATION
   VarSetCapacity(Buffer, 8)
   VarSetCapacity(ReturnLength, 4) ; формальность
   ZwQueryInformationProcess(hProc, ProcessBasicInformation, &ProcessInformation, 0x18, &ReturnLength)
   ;по смещению 4 располагается адрес PEB
   ReadProcessMemory(hProc, NumGet(&ProcessInformation, 4)+16, &Buffer, 4, &ReturnLength)
   ;по смещению 16 в PEB находится адрес структуры RTL_USER_PROCESS_PARAMETERS
   ReadProcessMemory(hProc, NumGet(&Buffer)+36, &Buffer, 8, &ReturnLength)
   ; слово по смещению 0 содержит длину строки в байтах
   ; двойное слово по смещению 4 содержит адрес строки
   ; строка НЕ заканчивается нулём
   x:=NumGet(&Buffer, 0, "ushort")
   VarSetCapacity(str, x) ; выделяем необходимое место
   ReadProcessMemory(hProc, NumGet(&Buffer, 4), &str, x, &ReturnLength)
   x:=StrGet(&str, x/2, "UTF-16")
   
   VarSetCapacity(ProcessInformation, 0) ; освобождаем память
   VarSetCapacity(str, 0)
   VarSetCapacity(Buffer, 0)
   VarSetCapacity(ReturnLength, 0)
   return x
}

Александр_, оба скрипта работают. Рабочую директорию получаю, спасибо.

Но второй — опять же, мониторит только длительноживущие процессы (скрипт с одной стокой "sleep 500" он не замечает, "sleep 1000" — нормально). Поэтому — мою задачу в итоге не решает.

А задача была такая: очень редко (не каждый день) возникает процесс (напр., Блокнот), который запускает неизвестный мне некий "быстроживущий" процесс-родитель (его можно с'имитировать ahk-скриптом с одной строчкой запуска Блокнота) — я хочу этот запускающий процесс "найти и обезвредить". Надо среагировать на возникновение Блокнота (например, твоим скриптом), и сообщить информацию о родительском процессе. PID этого процесса может сообщить скрипт из поста 15, а вот его имя (или ком. строку), если к тому времени процесс уже завершён — добыть не удается. Почему-то система может выдать pid процесса, запустившего Блокнот, но ничего более про него она уже не помнит, — поэтому этот pid бесполезен (я дополнил скрипт в посте 15, теперь он сообщает и имя parent процесса, но при условии, если он существует на момент работы скрипта).
Если таково свойство системы, то такой путь к успеху не приведёт, но можно по-другому: мониторить любой новый процесс и запоминать всё о нём, смотреть, возник ли далее Блокнот, и, — если возник, сообщать всё о предыдущем процессе. Тут и нужен хорошо реагирующий скрипт, но — твой скрипт не видит "быстрых" процессов, и поэтому вроде как бесполезен. А ProcMon (как она прошла мимо меня, удивляюсь, спасибо Alex'у2), похоже, засекает любые "быстрые" процессы, так что возможности какие-то существуют; а может, они что-то в обход системы делают.

?

Ну в запросе ведь указано проверять раз в секунду, можно и дробное число указать, например пол секунды:
ExecNotificationQuery("SELECT * FROM __InstanceCreationEvent WITHIN 0.5 WHERE TargetInstance ISA 'Win32_Process'")
Кстати, он не только за созданием процессов следит.

Я выше писал- включи аудит процессов, скрипт вообще не нужен.

Process Monitor- это утилита от Марка Руссиновича, у него много подобных программ, позволяющих следить за работой ОС Windows, все они рассмотрены в его книгах серии "Windows Internals". Process Monitor устанавливает в систему собственный драйвер, поэтому скриптом его действия повторить нельзя.

Может не сработать из-за загруженности процессора. Правда в скриптах другого пути нету.

У меня такого не случалось.

Откуда такая информация?

Возвращаясь к WMI и информации о процессах .
WMI почти всю информацию берёт из PEB целевого процесса, таким образом подменив там информацию можно обманывать приложения, использующие эту технологию. А командная строка вообще нигде не сохраняется, кроме как в PEB(по крайней мере я не нашёл). Таким образом, затерев командную строку мы обманем все приложения, которые будут получать её после модификации. Пример кода подменяющего командную строку(проверял только на win7 x64, но должно везде работать):

msgbox % GetCommandLine()
ChangeCommandLine("бугага")
msgbox % GetCommandLine()
return

GetCommandLine()
{
   ComObjGet("winmgmts:").ExecQuery("Select * from Win32_Process WHERE ProcessId = " . DllCall("GetCurrentProcessId", "uint"))._NewEnum.next(x)
   return x.CommandLine
}

ChangeCommandLine(NewCommandLine)
{
   VarSetCapacity(ProcessInformation, 6*a_PtrSize, 0)
   VarSetCapacity(ReturnLength, 4, 0)
   x:=DllCall("ntdll.dll\ZwQueryInformationProcess", "ptr", -1, "uint", 0, "ptr", &ProcessInformation, "uint", 6*a_PtrSize, "ptr", &ReturnLength, "int")
   if(x<0)
   {
      msgbox ZwQueryInformationProcess error, return = %x%, GetLastError = %a_lasterror%
      return
   }
   lpPEB := NumGet(&ProcessInformation, A_PtrSize, "ptr")
   if(!lpPEB)
   {
      msgbox не получен адрес PEB
	  return
   }
   lpProcessParameters := NumGet(lpPEB|0, A_PtrSize*4, "ptr")
   if(!lpProcessParameters)
   {
      msgbox не получен адрес RTL_USER_PROCESS_PARAMETERS
	  return
   }
   MaxLen:=NumGet(lpProcessParameters|0, 18+12*A_PtrSize, "ushort")
   CommandLine := NumGet(lpProcessParameters|0, 24+12*A_PtrSize, "ptr")
   if(!CommandLine)
   {
      msgbox не получен адрес командной строки
	  return
   }
   len := strlen(NewCommandLine)*2+2
   if(len>MaxLen)
      len := MaxLen
   NumPut(len-2, 16+12*A_PtrSize, "ushort")
   StrPut(NewCommandLine, CommandLine|0, len/2, "UTF-16")
}

После выполнения функции ChangeCommandLine ни одно приложение не сможет получить командную строку этого скрипта.

Не понял .
MaxLen- это количество байт, выделенное под строку. len- это количество байт нужное для записи строки, не считая нуля на конце(т.е. косяк, нужно было ещё 2 прибавить). Далее если len>MaxLen, то просто записать строку нельзя, потому что может произойти переполнение и нужно либо обрезать строку, либо выделить другой участок памяти и прописать его в lpProcessParameters.
Или ты про опечатку в шестой строке снизу?