PCREATE_PROCESS_NOTIFY_ROUTINE 콜백 함수(ntddk.h)
드라이버에서 구현한 프로세스 생성 콜백은 드라이버의 내부 상태에 대한 프로세스의 시스템 전체 생성 및 삭제를 추적합니다.
경고
이 루틴에서 수행할 수 있는 작업은 안전한 호출에 대해 제한됩니다. 모범 사례참조하세요.
통사론
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
매개 변수
[in] ParentId
부모 프로세스의 프로세스 ID입니다.
[in] ProcessId
프로세스의 프로세스 ID입니다.
[in] Create
프로세스가 만들어졌는지(TRUE) 삭제되었는지(FALSE)를 나타냅니다.
반환 값
없음
발언
최고 수준의 드라이버는 PsSetCreateProcessNotifyRoutine 호출하여 프로세스 생성 알림 루틴을 등록합니다.
드라이버의 프로세스 알림 루틴은 일반적으로 프로세스 내의 마지막 스레드가 종료되고 프로세스 주소 공간이 삭제될 때 만들기 FALSE 설정하여 호출됩니다.
운영 체제는 일반 커널 APC 사용하지 않도록 설정된 중요한 지역 내의 PASSIVE_LEVEL 드라이버의 프로세스 알림 루틴을 호출합니다. 프로세스가 만들어지면 프로세스 알림 루틴은 새 프로세스를 만든 스레드의 컨텍스트에서 실행됩니다. 프로세스가 삭제되면 프로세스 알림 루틴은 마지막 스레드의 컨텍스트에서 실행되어 프로세스에서 종료됩니다.
요구 사항
| 요구 | 값 |
|---|---|
| 지원되는 최소 클라이언트 | Windows 2000부터 사용할 수 있습니다. |
| 대상 플랫폼 | 보편적 |
| 헤더 | ntddk.h(Ntddk.h 포함) |
| IRQL | PASSIVE_LEVEL |
참고 항목
PsSetCreateProcessNotifyRoutine