Compartir a través de

Función PsSetLoadImageNotifyRoutineEx (ntddk.h)

  • Artículo

La rutina PsSetLoadImageNotifyRoutineEx registra una devolución de llamada proporcionada por el controlador que se notifica posteriormente cada vez que se carga una imagen (por ejemplo, un archivo DLL o EXE) (o se asigna a la memoria).

Sintaxis

NTSTATUS PsSetLoadImageNotifyRoutineEx(
  [in] PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine,
  [in] ULONG_PTR                  Flags
);

Parámetros

[in] NotifyRoutine

Puntero a la rutina de devolución de llamada implementada por el autor de la llamada PLOAD_IMAGE_NOTIFY_ROUTINE para las notificaciones de imagen de carga.

[in] Flags

Proporciona una máscara de bits de marcas que controlan la función de devolución de llamada. Estos son los valores posibles:

  • PS_IMAGE_NOTIFY_CONFLICTING_ARCHITECTURE indica que se debe invocar la rutina de devolución de llamada para todas las imágenes potencialmente ejecutables, incluidas las imágenes que tienen una arquitectura diferente de la arquitectura nativa del sistema operativo.

Valor devuelto

Código devuelto Descripción
STATUS_SUCCESS
La devolución de llamada se registró correctamente.
STATUS_INVALID_PARAMETER_2
 Se proporcionó una marca no válida en Marcas.
STATUS_INSUFFICIENT_RESOURCES
 La rutina no ha podido asignar un bloque de devolución de llamada debido a la falta de recursos.

Comentarios

Los controladores de generación de perfiles del sistema de nivel más alto pueden llamar a PsSetLoadImageNotifyRoutineEx para configurar sus rutinas de notificación de imagen de carga (consulte PLOAD_IMAGE_NOTIFY_ROUTINE).

El número máximo de controladores que se pueden registrar simultáneamente para recibir notificaciones de imagen de carga es 64. Si el número máximo de rutinas de notificación de imagen de carga ya está registrada cuando un controlador llama a PsSetLoadImageNotifyRoutineEx para intentar registrar una rutina de notificación adicional, PsSetLoadImageNotifyRoutineEx produce un error y devuelve STATUS_INSUFFICIENT_RESOURCES.

Un controlador debe quitar las devoluciones de llamada que registre antes de descargarla. Puede quitar la devolución de llamada llamando a la rutina PsRemoveLoadImageNotifyRoutine .

Requisitos

Requisito Value
Cliente mínimo compatible Windows 10, versión 1709
Servidor mínimo compatible Windows Server 2016
Plataforma de destino Windows
Encabezado ntddk.h
Library NtosKrnl.lib
Archivo DLL NtosKrnl.exe (modo kernel)
IRQL PASSIVE_LEVEL