PsGetProcessCreateTimeQuadPart 函数 (ntddk.h)
PsGetProcessCreateTimeQuadPart 例程返回一个 LONGLONG 值,该值表示创建进程的时间。
语法
LONGLONG PsGetProcessCreateTimeQuadPart(
[in] PEPROCESS Process
);
参数
[in] Process
指向表示进程的 EPROCESS 结构的指针。 驱动程序可以使用 PsGetCurrentProcess 和 ObReferenceObjectByHandle 例程获取指向进程的 EPROCESS 结构的指针。
返回值
PsGetProcessCreateTimeQuadPart 以 1601 年 1 月 1 日以来的 100 纳秒间隔返回进程创建时间。 返回值与 KeQuerySystemTime 例程在创建进程时返回的值相同。 (请注意,如果更改了系统时间, 则 PsGetProcessCreateTimeQuadPart 返回的值不受影响。)
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | 在 Windows XP 和更高版本的 Windows 中可用。 |
| 目标平台 | 通用 |
| 标头 | ntddk.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |
| Library | Ntoskrnl.lib |
| DLL | Ntoskrnl.exe |
| IRQL | 任何级别 |