PCREATE_PROCESS_NOTIFY_ROUTINE回调函数 (ntddk.h)
由驱动程序实现的进程创建回调,用于跟踪针对驱动程序的内部状态创建和删除进程的系统范围。
警告
在此例程中可以执行的作仅限于安全调用。 请参阅 最佳做法。
语法
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
参数
[in] ParentId
父进程的进程 ID。
[in] ProcessId
进程的进程 ID。
[in] Create
指示是否已创建进程(TRUE)或删除(FALSE)。
返回值
没有
言论
最高级别的驱动程序调用 PsSetCreateProcessNotifyRoutine 来注册其进程创建通知例程。
驱动程序的进程通知例程也调用,创建 设置为 FALSE,通常当进程内的最后一个线程已终止并且进程地址空间即将删除时。
作系统在关键区域中PASSIVE_LEVEL调用驱动程序的进程通知例程,正常内核 APC 禁用。 创建进程时,进程通知例程在创建新进程的线程的上下文中运行。 删除进程后,进程通知例程将在最后一个线程的上下文中运行,以退出进程。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 从 Windows 2000 开始可用。 |
| 目标平台 | 普遍 |
| 标头 | ntddk.h (包括 Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
另请参阅
PsSetCreateProcessNotifyRoutine