функция обратного вызова PCREATE_PROCESS_NOTIFY_ROUTINE (ntddk.h)
Обратный вызов создания процесса, реализованный драйвером для отслеживания создания и удаления процессов во внутреннем состоянии драйвера.
Предупреждение
Действия, которые можно выполнить в этой подпрограмме, ограничены для безопасных вызовов. См. рекомендации.
Синтаксис
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
Параметры
[in] ParentId
Идентификатор процесса родительского процесса.
[in] ProcessId
Идентификатор процесса процесса.
[in] Create
Указывает, был ли создан процесс (TRUE) или удален (FALSE).
Возвращаемое значение
Никакой
Замечания
Драйверы самого высокого уровня вызывают PsSetCreateProcessNotifyRoutine для регистрации подпрограмм уведомления о создании процесса.
Подпрограмма уведомления о процессе драйвера также вызывается с Create set to FALSE, как правило, когда последний поток в процессе завершается, и адресное пространство процесса будет удалено.
Операционная система вызывает подпрограмму уведомления о процессе драйвера в PASSIVE_LEVEL в критическом регионе с обычными API ядра отключены. При создании процесса подпрограмма уведомления процесса выполняется в контексте потока, создавшего новый процесс. При удалении процесса подпрограмма уведомления о процессе выполняется в контексте последнего потока, чтобы выйти из процесса.
Требования
| Требование | Ценность |
|---|---|
| минимальные поддерживаемые клиентские | Доступно начиная с Windows 2000. |
| целевая платформа | Всеобщий |
| заголовка | ntddk.h (include Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
См. также
PsSetCreateProcessNotifyRoutine