функция обратного вызова PCREATE_PROCESS_NOTIFY_ROUTINE (ntddk.h)
Обратный вызов создания процесса, реализованный драйвером для отслеживания создания и удаления процессов на уровне системы для внутреннего состояния драйвера.
Предупреждение
Действия, которые можно выполнять в этой подпрограмме, ограничены для безопасных вызовов. См. рекомендации.
Синтаксис
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
Параметры
[in] ParentId
Идентификатор родительского процесса.
[in] ProcessId
Идентификатор процесса.
[in] Create
Указывает, был ли процесс создан (TRUE) или удален (FALSE).
Возвращаемое значение
None
Remarks
Драйверы самого высокого уровня вызывают PsSetCreateProcessNotifyRoutine для регистрации процедур уведомления о создании процесса.
Подпрограмма уведомления о процессе драйвера также вызывается с параметром Create , для которого задано значение FALSE, обычно это происходит при завершении последнего потока в процессе и удалении адресного пространства процесса.
Операционная система вызывает подпрограмму уведомления о процессе драйвера в PASSIVE_LEVEL в критическом регионе с отключенными обычными ПТР ядра . При создании процесса подпрограмма уведомления о процессе выполняется в контексте потока, создавшего новый процесс. При удалении процесса подпрограмма уведомления о процессе выполняется в контексте последнего потока для выхода из процесса.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Доступно начиная с Windows 2000. |
| Целевая платформа | Универсальное |
| Верхняя часть | ntddk.h (включая Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
См. также раздел
PsSetCreateProcessNotifyRoutine