Condividi tramite

Funzione PsSetLoadImageNotifyRoutineEx (ntddk.h)

  • Articolo

La routine PsSetLoadImageNotifyRoutineEx registra un callback fornito dal driver che riceve successivamente una notifica ogni volta che un'immagine (ad esempio, una DLL o un file EXE) viene caricata (o mappata in memoria).

Sintassi

NTSTATUS PsSetLoadImageNotifyRoutineEx(
  [in] PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine,
  [in] ULONG_PTR                  Flags
);

Parametri

[in] NotifyRoutine

Puntatore alla routine di callback implementata dal chiamante PLOAD_IMAGE_NOTIFY_ROUTINE per le notifiche di immagine di caricamento.

[in] Flags

Fornisce una maschera di bit di flag che controllano la funzione di callback. Ecco i valori possibili:

  • PS_IMAGE_NOTIFY_CONFLICTING_ARCHITECTURE indica che la routine di callback deve essere richiamata per tutte le immagini potenzialmente eseguibili, incluse le immagini con un'architettura diversa dall'architettura nativa del sistema operativo.

Valore restituito

Codice restituito Descrizione
STATUS_SUCCESS
Il callback è stato registrato correttamente.
STATUS_INVALID_PARAMETER_2
 Flag non valido fornito in flag .
STATUS_INSUFFICIENT_RESOURCES
 La routine non è riuscita ad allocare un blocco di callback a causa della mancanza di risorse.

Osservazioni

I driver di profilatura di sistema di livello più elevato possono chiamare PsSetLoadImageNotifyRoutineEx per configurare le routine di notifica dell'immagine di caricamento (vedere PLOAD_IMAGE_NOTIFY_ROUTINE).

Il numero massimo di driver che possono essere registrati contemporaneamente per ricevere notifiche di immagine di caricamento è 64. Se il numero massimo di routine di notifica dell'immagine di caricamento è già registrato quando un driver chiama PsSetLoadImageNotifyRoutineEx per provare a registrare una routine di notifica aggiuntiva, PsSetLoadImageNotifyRoutineEx ha esito negativo e restituisce STATUS_INSUFFICIENT_RESOURCES.

Un driver deve rimuovere tutti i callback registrati prima di scaricare. È possibile rimuovere il callback chiamando la routine PsRemoveLoadImageNotifyRoutine.

Fabbisogno

Requisito Valore
client minimo supportato Windows 10, versione 1709
server minimo supportato Windows Server 2016
piattaforma di destinazione Finestre
intestazione ntddk.h
libreria NtosKrnl.lib
dll NtosKrnl.exe (modalità kernel)
IRQL PASSIVE_LEVEL