функция обратного вызова PCREATE_PROCESS_NOTIFY_ROUTINE_EX (ntddk.h)
Подпрограмма обратного вызова, реализованная драйвером для уведомления вызывающей стороны при создании или завершении процесса.
Предупреждение
Действия, которые можно выполнять в этой подпрограмме, ограничены для безопасных вызовов. См. рекомендации.
Синтаксис
PCREATE_PROCESS_NOTIFY_ROUTINE_EX PcreateProcessNotifyRoutineEx;
void PcreateProcessNotifyRoutineEx(
[_Inout_] PEPROCESS Process,
[in] HANDLE ProcessId,
[in, out, optional] PPS_CREATE_NOTIFY_INFO CreateInfo
)
{...}
Параметры
[_Inout_] Process
Указатель на структуру EPROCESS, представляющую процесс. Драйверы могут использовать подпрограммы PsGetCurrentProcess и ObReferenceObjectByHandle для получения указателя на структуру EPROCESS для процесса.
[in] ProcessId
Идентификатор процесса.
[in, out, optional] CreateInfo
Указатель на структуру PS_CREATE_NOTIFY_INFO , содержащую сведения о новом процессе. Если этот параметр имеет значение NULL, указанный процесс завершается.
Возвращаемое значение
None
Remarks
Драйверы самого высокого уровня вызывают PsSetCreateProcessNotifyRoutineEx для регистрации реализации PCREATE_PROCESS_NOTIFY_ROUTINE_EX подпрограммы. Устанавливаемая файловая система (IFS) или драйвер профилирования системы самого высокого уровня может зарегистрировать подпрограмму обратного вызова создания процесса, чтобы отслеживать, какие процессы создаются и удаляются в отношении внутреннего состояния драйвера в системе.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Доступно начиная с Windows 2000. |
| Целевая платформа | Универсальное |
| Верхняя часть | ntddk.h (включая Ntddk.h) |
| IRQL | PASSIVE_LEVEL |