PCREATE_PROCESS_NOTIFY_ROUTINE_EX回调函数 (ntddk.h)
驱动程序实现的回调例程,用于在创建或退出进程时通知调用方。
警告
对于安全调用,可以在此例程中执行的操作受到限制。 请参阅 最佳做法。
语法
PCREATE_PROCESS_NOTIFY_ROUTINE_EX PcreateProcessNotifyRoutineEx;
void PcreateProcessNotifyRoutineEx(
[_Inout_] PEPROCESS Process,
[in] HANDLE ProcessId,
[in, out, optional] PPS_CREATE_NOTIFY_INFO CreateInfo
)
{...}
参数
[_Inout_] Process
指向表示进程的 EPROCESS 结构的指针。 驱动程序可以使用 PsGetCurrentProcess 和 ObReferenceObjectByHandle 例程来获取指向进程的 EPROCESS 结构的指针。
[in] ProcessId
进程的进程 ID。
[in, out, optional] CreateInfo
指向包含新进程相关信息 的PS_CREATE_NOTIFY_INFO 结构的指针。 如果此参数为 NULL,则指定的进程将退出。
返回值
无
备注
最高级别的驱动程序调用 PsSetCreateProcessNotifyRoutineEx 来注册其 PCREATE_PROCESS_NOTIFY_ROUTINE_EX 例程的实现。 (IFS) 或最高级别的系统分析驱动程序的可安装文件系统可能会注册进程创建回调例程,以在整个系统中跟踪针对驱动程序的内部状态创建和删除的进程。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | 从 Windows 2000 开始可用。 |
| 目标平台 | 通用 |
| 标头 | ntddk.h (包括 Ntddk.h) |
| IRQL | PASSIVE_LEVEL |