PCREATE_PROCESS_NOTIFY_ROUTINE_EX Rückruffunktion (ntddk.h)
Eine rückrufroutine, die von einem Treiber implementiert wird, um den Aufrufer zu benachrichtigen, wenn ein Prozess erstellt oder beendet wird.
Warnung
Die Aktionen, die Sie in dieser Routine ausführen können, sind für sichere Anrufe eingeschränkt. Siehe best Practices.
Syntax
PCREATE_PROCESS_NOTIFY_ROUTINE_EX PcreateProcessNotifyRoutineEx;
void PcreateProcessNotifyRoutineEx(
[_Inout_] PEPROCESS Process,
[in] HANDLE ProcessId,
[in, out, optional] PPS_CREATE_NOTIFY_INFO CreateInfo
)
{...}
Parameter
[_Inout_] Process
Ein Zeiger auf die EPROCESS-Struktur, die den Prozess darstellt. Treiber können die PsGetCurrentProcess und ObReferenceObjectByHandle Routinen verwenden, um einen Zeiger auf die EPROCESS-Struktur für einen Prozess abzurufen.
[in] ProcessId
Die Prozess-ID des Prozesses.
[in, out, optional] CreateInfo
Ein Zeiger auf eine PS_CREATE_NOTIFY_INFO Struktur, die Informationen zum neuen Prozess enthält. Wenn dieser Parameter NULL ist, wird der angegebene Prozess beendet.
Rückgabewert
Nichts
Bemerkungen
Treiber der höchsten Ebene rufen PsSetCreateProcessNotifyRoutineEx- auf, um ihre Implementierung der PCREATE_PROCESS_NOTIFY_ROUTINE_EX Routine zu registrieren. Ein installierbares Dateisystem (IFS) oder ein Systemprofiltreiber auf höchster Ebene registriert möglicherweise eine Rückrufroutine zur Prozesserstellung, um nachzuverfolgen, welche Prozesse erstellt und für den internen Zustand des Treibers im gesamten System gelöscht werden.
Anforderungen
| Anforderung | Wert |
|---|---|
| mindestens unterstützte Client- | Ab Windows 2000 verfügbar. |
| Zielplattform- | Universal |
| Header- | ntddk.h (include Ntddk.h) |
| IRQL- | PASSIVE_LEVEL |