estructura PS_CREATE_NOTIFY_INFO (ntddk.h)
La estructura PS_CREATE_NOTIFY_INFO proporciona información sobre un proceso recién creado.
Sintaxis
typedef struct _PS_CREATE_NOTIFY_INFO {
SIZE_T Size;
union {
ULONG Flags;
struct {
ULONG FileOpenNameAvailable : 1;
ULONG IsSubsystemProcess : 1;
ULONG Reserved : 30;
};
};
HANDLE ParentProcessId;
CLIENT_ID CreatingThreadId;
struct _FILE_OBJECT *FileObject;
PCUNICODE_STRING ImageFileName;
PCUNICODE_STRING CommandLine;
NTSTATUS CreationStatus;
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;
Miembros
Size
Tamaño, en bytes, de esta estructura. El sistema operativo usa este tamaño para indicar el tipo de estructura que pasa a CreateProcessNotifyEx. Actualmente, este miembro siempre es tamaño de(PS_CREATE_NOTIFY_INFO).
Flags
Reservado. En su lugar, use el miembro FileOpenNameAvailable.
FileOpenNameAvailable
Valor booleano que especifica si el miembro ImageFileName contiene el nombre de archivo exacto que se usa para abrir el archivo ejecutable del proceso.
IsSubsystemProcess
Valor booleano que indica el tipo de subsistema de proceso es un subsistema distinto de Win32.
isSubsystemProcess solo se rellena para los procesos de subsistema distintos de Win32 cuando un controlador se ha registrado a través de PsSetCreateProcessNotifyRoutineEx 2 con un tipo que permite notificaciones de procesos de subsistema. Cuando se establece IsSubsystemProcess, FileObject, ImageFileNamey commandLine puede ser NULL. Los controladores deben usar ProcessSubsystemInformation para consultar el tipo de subsistema si es necesario.
Para obtener más información, vea ntQueryInformationProcess.
Reserved
Reservado para uso del sistema.
ParentProcessId
Identificador de proceso del proceso primario para el nuevo proceso. Tenga en cuenta que el proceso primario no es necesariamente el mismo que el proceso que creó el nuevo proceso. El nuevo proceso puede heredar ciertas propiedades del proceso primario, como identificadores o memoria compartida. (El identificador de proceso del creador del proceso lo da CreatingThreadId:>UniqueProcess).
CreatingThreadId
Identificador de proceso e identificador de subproceso del proceso y subproceso que creó el nuevo proceso. CreatingThreadId:>UniqueProcess contiene el identificador de proceso y CreatingThreadId:>uniqueThread contiene el identificador de subproceso.
FileObject
Puntero al objeto de archivo del archivo ejecutable del proceso.
Si isSubsystemProcess es TRUE, este valor puede ser null.
ImageFileName
Puntero a una cadena de UNICODE_STRING que contiene el nombre de archivo del ejecutable. Si el miembro FileOpenNameAvailable es TRUE, la cadena especifica el nombre de archivo exacto que se usa para abrir el archivo ejecutable. Si fileOpenNameAvailable es FALSE, el sistema operativo podría proporcionar solo un nombre parcial.
Si isSubsystemProcess es TRUE, este valor puede ser NULL.
CommandLine
Puntero a una cadena de UNICODE_STRING que contiene el comando que se usa para ejecutar el proceso. Si el comando no está disponible, CommandLine es NULL.
Si isSubsystemProcess es TRUE, este valor puede ser NULL.
CreationStatus
Valor NTSTATUS que se va a devolver para la operación de creación de procesos. Los controladores pueden cambiar este valor a un código de error para evitar que se cree el proceso.
Requisitos
| Requisito | Valor |
|---|---|
| encabezado de | ntddk.h (incluya Ntddk.h) |