PsGetProcessCreateTimeQuadPart-Funktion (ntddk.h)
Die PsGetProcessCreateTimeQuadPart Routine gibt einen LONGLONG-Wert zurück, der die Zeit darstellt, zu der der Prozess erstellt wurde.
Syntax
LONGLONG PsGetProcessCreateTimeQuadPart(
[in] PEPROCESS Process
);
Parameter
[in] Process
Ein Zeiger auf die EPROCESS-Struktur, die den Prozess darstellt. Treiber können die PsGetCurrentProcess und ObReferenceObjectByHandle Routinen verwenden, um einen Zeiger auf die EPROCESS-Struktur für einen Prozess abzurufen.
Rückgabewert
PsGetProcessCreateTimeQuadPart gibt die Prozesserstellungszeit in 100-Nanosekundenintervallen seit dem 1. Januar 1601 zurück. Der Rückgabewert entspricht dem Wert, den die KeQuerySystemTime- Routine zurückgibt, als der Prozess erstellt wurde. (Wenn die Systemzeit geändert wird, ist der Wert PsGetProcessCreateTimeQuadPart nicht betroffen.)
Anforderungen
| Anforderung | Wert |
|---|---|
| mindestens unterstützte Client- | Verfügbar in Windows XP und höheren Versionen von Windows. |
| Zielplattform- | Universal |
| Header- | ntddk.h (enthalten Wdm.h, Ntddk.h, Ntifs.h) |
| Library | Ntoskrnl.lib |
| DLL- | Ntoskrnl.exe |
| IRQL- | Beliebige Ebene |