PCREATE_PROCESS_NOTIFY_ROUTINE Rückruffunktion (ntddk.h)
Prozesserstellungsrückruf, der von einem Treiber implementiert wird, um die systemweite Erstellung und Löschung von Prozessen anhand des internen Zustands des Treibers nachzuverfolgen.
Warnung
Die Aktionen, die Sie in dieser Routine ausführen können, sind für sichere Anrufe eingeschränkt. Siehe best Practices.
Syntax
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
Parameter
[in] ParentId
Die Prozess-ID des übergeordneten Prozesses.
[in] ProcessId
Die Prozess-ID des Prozesses.
[in] Create
Gibt an, ob der Prozess erstellt wurde (TRUE) oder gelöscht (FALSE).
Rückgabewert
Nichts
Bemerkungen
Treiber der höchsten Ebene rufen PsSetCreateProcessNotifyRoutine auf, um ihre Prozesserstellungsbenachrichtigungsroutinen zu registrieren.
Die Prozessbenachrichtigungsroutine eines Treibers wird auch mit Create auf FALSEfestgelegt, in der Regel, wenn der letzte Thread innerhalb eines Prozesses beendet wurde und der Prozessadressraum gelöscht werden soll.
Das Betriebssystem ruft die Prozessbenachrichtigungsroutine des Treibers bei PASSIVE_LEVEL in einem kritischen Bereich auf, wobei normalen Kernel-APCs deaktiviert deaktiviert sind. Wenn ein Prozess erstellt wird, wird die Prozessbenachrichtigungsroutine im Kontext des Threads ausgeführt, der den neuen Prozess erstellt hat. Wenn ein Prozess gelöscht wird, wird die Prozessbenachrichtigungsroutine im Kontext des letzten Threads ausgeführt, der vom Prozess beendet werden soll.
Anforderungen
| Anforderung | Wert |
|---|---|
| mindestens unterstützte Client- | Ab Windows 2000 verfügbar. |
| Zielplattform- | Universal |
| Header- | ntddk.h (include Ntddk.h) |
| IRQL- | PASSIVE_LEVEL |
Siehe auch
PsSetCreateProcessNotifyRoutine