PCREATE_PROCESS_NOTIFY_ROUTINE Rückruffunktion (ntddk.h)
Rückruf zur Prozesserstellung, der von einem Treiber implementiert wird, um die systemweite Erstellung und Löschung von Prozessen anhand des internen Zustands des Treibers nachzuverfolgen.
Warnung
Die Aktionen, die Sie in dieser Routine ausführen können, sind für sichere Anrufe eingeschränkt. Weitere Informationen finden Sie unter Bewährte Methoden.
Syntax
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
Parameter
[in] ParentId
Die Prozess-ID des übergeordneten Prozesses.
[in] ProcessId
Die Prozess-ID des Prozesses.
[in] Create
Gibt an, ob der Prozess erstellt (TRUE) oder gelöscht wurde (FALSE).
Rückgabewert
Keine
Bemerkungen
Treiber der höchsten Ebene rufen PsSetCreateProcessNotifyRoutine auf, um ihre Benachrichtigungsroutinen für die Prozesserstellung zu registrieren.
Die Prozessbenachrichtigungsroutine eines Treibers wird auch aufgerufen, wenn Create auf FALSE festgelegt ist, in der Regel dann, wenn der letzte Thread innerhalb eines Prozesses beendet wurde und der Prozessadressraum gerade gelöscht werden soll.
Das Betriebssystem ruft die Prozessbenachrichtigungsroutine des Treibers in PASSIVE_LEVEL in einer kritischen Region mit deaktivierten normalen Kernel-APCs auf. Wenn ein Prozess erstellt wird, wird die Prozessbenachrichtigungsroutine im Kontext des Threads ausgeführt, der den neuen Prozess erstellt hat. Wenn ein Prozess gelöscht wird, wird die Prozessbenachrichtigungsroutine im Kontext des letzten Threads ausgeführt, um den Prozess zu beenden.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Verfügbar ab Windows 2000. |
| Zielplattform | Universell |
| Header | ntddk.h (include Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
Weitere Informationen
PsSetCreateProcessNotifyRoutine