PCREATE_PROCESS_NOTIFY_ROUTINE_EX回调函数 (ntddk.h)
驱动程序实现的回调例程,用于在创建或退出进程时通知调用方。
警告
在此例程中可以执行的作仅限于安全调用。 请参阅 最佳做法。
语法
PCREATE_PROCESS_NOTIFY_ROUTINE_EX PcreateProcessNotifyRoutineEx;
void PcreateProcessNotifyRoutineEx(
[_Inout_] PEPROCESS Process,
[in] HANDLE ProcessId,
[in, out, optional] PPS_CREATE_NOTIFY_INFO CreateInfo
)
{...}
参数
[_Inout_] Process
指向表示进程的 EPROCESS 结构的指针。 驱动程序可以使用 PsGetCurrentProcess 和 ObReferenceObjectByHandle 例程获取指向进程的 EPROCESS 结构的指针。
[in] ProcessId
进程的进程 ID。
[in, out, optional] CreateInfo
指向包含有关新进程的信息的 PS_CREATE_NOTIFY_INFO 结构的指针。 如果此参数为 NULL,则指定的进程正在退出。
返回值
没有
言论
最高级别的驱动程序调用 PsSetCreateProcessNotifyRoutineEx 来注册其 PCREATE_PROCESS_NOTIFY_ROUTINE_EX 例程的实现。 可安装文件系统(IFS)或最高级别的系统分析驱动程序可能会注册进程创建回调例程,以跟踪针对整个系统驱动程序的内部状态创建和删除的进程。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 从 Windows 2000 开始可用。 |
| 目标平台 | 普遍 |
| 标头 | ntddk.h (包括 Ntddk.h) |
| IRQL | PASSIVE_LEVEL |