PsGetProcessCreateTimeQuadPart 函数 (ntddk.h)
PsGetProcessCreateTimeQuadPart 例程返回一个LONGLONG 值,该值表示创建进程的时间。
语法
LONGLONG PsGetProcessCreateTimeQuadPart(
[in] PEPROCESS Process
);
参数
[in] Process
指向表示进程的 EPROCESS 结构的指针。 驱动程序可以使用 PsGetCurrentProcess 和 ObReferenceObjectByHandle 例程来获取指向进程的 EPROCESS 结构的指针。
返回值
PsGetProcessCreateTimeQuadPart 以 100 纳秒间隔返回进程创建时间,从 1601 年 1 月 1 日起。 返回值与创建进程时 KeQuerySystemTime 例程返回的值相同。 (请注意,如果系统时间发生更改,则 PsGetProcessCreateTimeQuadPart 返回的值不受影响。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 在 Windows XP 和更高版本的 Windows 中可用。 |
| 目标平台 | 普遍 |
| 标头 | ntddk.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |
| 库 | Ntoskrnl.lib |
| DLL | Ntoskrnl.exe |
| IRQL | 任何级别 |