strComputer = "." Set objWMIService = GetObject("winmgmts:\\" strComputer "\root\cimv2") Set objEventSource = objWMIService.ExecNotificationQuery _ ("SELECT * FROM __InstanceOperationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'") Do While True Set objEventObject = objEventSource.NextEvent() If Right(objEventObject.TargetInstance.Name, 4) = ".scr" Then Select Case objEventObject.Path_.Class Case "__InstanceCreationEvent" Wscript.Echo "Screensaver " objEventObject.TargetInstance.Name _ " started: " Now Case "__InstanceDeletionEvent" Wscript.Echo "Screensaver " objEventObject.TargetInstance.Name _ " ended: " Now End Select End If Loop
它看起來的確有點復雜,不是嗎?但是別慌:就設計而言,WMI 事件腳本總是看起來有點復雜。幸運的是,這些腳本只是看起來復雜;您會看到,這些腳本實際上并不那么難理解。 注意:好吧,我們最好對最后一句陳述加以限定:只要您了解 WMI 事件構成的基本思想,就不那么難理解。如果您還不了解,最好花點時間看看腳本編寫第 2 周網絡廣播。這個網絡廣播將為您提供了理解今天專欄文章所需的所有背景信息。 好主意!盡管可能沒有有助于搞清楚我們的某一篇專欄文章的信息,但至少有助于搞清楚這個腳本代碼的意思。 這個特定腳本的開始是以歷史悠久的方式連接到本地計算機上的 WMI 服務。通常到這里,我們要執行 WMI 查詢以返回信息。正如您所看到的,在這個腳本中我們也要這么做,只是查詢看起來有點不同: Set objEventSource = objWMIService.ExecNotificationQuery _ ("SELECT * FROM __InstanceOperationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'") 不用說,這不是您所習慣編寫的 WMI 查詢類型,因為我們調用的是 ExecNotificationQuery 方法,而不是 ExecQuery。(為什么呢?因為要監控 WMI 事件,就必須使用 ExecNotificationQuery 方法。)今天我們無法詳細解釋這個查詢,但我們可以說,我們要求 WMI 只要有 WMI 事件(創建、刪除、修改)發生,就立刻通知我們。這里只有一個問題:我們只想當 TargetInstance(創建、刪除或修改的項目)是 Win32_Process 類的實例時才得到通知。 注意:當然,從技術角度來說,還有第二個問題:我們只是每 5 秒鐘檢查一次新事件。如果屏幕保護程序啟動,3 秒鐘之后結束,我們很可能就不會得到通知了。 換句話說,假設創建了一個新文件。新文件是 Win32_Process 類的實例嗎?不是;它是 CIM_DataFile 類的實例。因此,我們不想得到通知。假設修改了一個服務。我們想要得到通知嗎?不想要,因為服務是 Win32_Service 類的實例。好了,假設新進程(例如屏幕保護程序)啟動。我們想要得到通知嗎?當然想要。別忘了,新進程可是 Win32_Process 類的實例。任何時候如果創建、刪除或修改進程,我們都想得到通知。 不過,這些您已經意識到了,對吧? 為了獲得這些通知,我們建立一個當 True 等于 True 時運行的 Do 循環: Do While True 句子的語法確實有點怪異,但這個語法卻能夠使腳本不停運行,并且不停監控進程的創建、刪除和修改,直到終止腳本或重新啟動計算機。如果沒有這樣的循環,腳本會通知我們屏幕保護程序何時啟動,但是,隨后腳本就會結束。結果,我們永遠也不會得到屏幕保護程序何時結束的通知。 在循環內,我們首先要做的就是執行下面這行代碼: Set objEventObject = objEventSource.NextEvent() 我們所做的是告訴腳本等待,直到下一個我們所關心的事件發生。換句話說,腳本將停留在此行代碼上,直到有進程被創建、刪除或修改。假設進程始終不變,假設我們始終不創建、刪除或修改進程。在這種情況下,腳本就會永遠停在這兒,耐心等待。以防萬一。 現在,我們知道您正在想什么。您正在想:“嗨,稍等一下。我們只關心屏幕保護程序。Microsoft Word 也在進程中運行。如果我們啟動 Microsoft Word,從而創建 Winword.exe 進程的新實例,那不也會觸發通知嗎?” 您說對了:會觸發通知。接下來這行代碼就用來解決這個問題。啟動 Word(或者任何可執行文件,就這一點而言)確實都會發出通知。但我們可以使用下面這行代碼解決這個問題: If Right(objEventObject.TargetInstance.Name, 4) = ".scr" Then 在這里,我們使用 Right 函數檢查觸發通知的進程的名稱。如果名稱中最右側的四個字符等于 .scr,我們便假定正在處理的是屏幕保護程序,因為屏幕保護程序的名稱類似 Marquee.scr。如果名稱中的最后四個字符不是 .scr,我們便只是循環一次,然后等待下一個事件發生。 那么,如果最后四個字符是 .scr 會怎樣?在這種情況下,我們只關心兩種可能:屏幕保護程序啟動或屏幕保護程序結束。(我們并不關心是否有人修改屏幕保護程序的屬性。)為處理這兩種可能,我們設置一個 Select Case 塊,用于檢查事件實例的 Class: Select Case objEventObject.Path_.Class 如果 Class 等于 __InstanceCreationEvent,則意味著已創建新進程(即新屏幕保護程序)。在第一個 Case 語句中,我們檢查 Class 是否等于 __InstanceCreationEvent。如果等于,我們便回顯如下事實:特定屏幕保護程序(使用進程名稱表示)在特定時間(使用 VBScript 函數 Now)啟動: Case "__InstanceCreationEvent" Wscript.Echo "Screensaver " objEventObject.TargetInstance.Name " started: " Now 意思清楚了,對吧?現在,假設屏幕保護程序已結束,這就會導致刪除屏幕保護程序進程。為處理這種可能,我們檢查 __InstanceDeletionEvent 類是否有新實例。如果發生屬于該類的事件(表示已刪除屏幕保護程序進程),我們便回顯如下事實 - 指定的屏幕保護程序在指定時間停止: Case "__InstanceDeletionEvent" Wscript.Echo "Screensaver " objEventObject.TargetInstance.Name " ended: " Now 至此您已實現了您的目的。運行此腳本后,會返回類似下面的信息: Screensaver Script Center.scr started: 2/9/2006 9:11:07 AM Screensaver Script Center.scr ended: 2/9/2006 9:11:17 AM 注意:Script Center.scr 到底是什么?下載它,然后自己看。 我們還要補充兩件事。第一,最好在 Cscript 下的命令窗口中運行此腳本,也就是說,要開始監控,請打開命令窗口,然后鍵入類似下面的命令(當然,具體內容視腳本名稱而定): cscript screensaver_monitor.vbs 第二,正如我們前面所指出的,此腳本設計為永遠運行。另一方面,什么事都不會永遠持續下去,是吧?如果要停止監控,我們只需按 Ctrl+C,關閉命令窗口,或者終止 CScript.exe 進程。記住,腳本專家決不會讓您陷于沒有出口的無限循環中。(您知道嗎:這對我們這的工作真是形容得非常恰當。)
