OB_OPERATION_REGISTRATION结构 (wdm.h)
OB_OPERATION_REGISTRATION 结构指定 ObjectPreCallback 和 ObjectPostCallback 回调例程以及调用例程的作类型。
语法
typedef struct _OB_OPERATION_REGISTRATION {
POBJECT_TYPE *ObjectType;
OB_OPERATION Operations;
POB_PRE_OPERATION_CALLBACK PreOperation;
POB_POST_OPERATION_CALLBACK PostOperation;
} OB_OPERATION_REGISTRATION, *POB_OPERATION_REGISTRATION;
成员
ObjectType
指向触发回调例程的对象类型的指针。 指定以下值之一:
- 处理作的 PsProcessType
- 线程句柄作的 PsThreadType
- ExDesktopObjectType 桌面句柄作。 此值在 Windows 10 中不受早期版本的作系统支持。
Operations
指定以下一个或多个标志:
OB_OPERATION_HANDLE_CREATE
新进程、线程或桌面句柄已打开或将打开。
OB_OPERATION_HANDLE_DUPLICATE
进程、线程或桌面句柄是或将被复制。
PreOperation
指向 ObjectPreCallback 例程的指针。 系统在请求的作发生之前调用此例程。
PostOperation
指向 ObjectPostCallback 例程的指针。 系统在请求的作发生后调用此例程。
言论
ObRegisterCallbacks 例程使用此结构。 此例程的 CallBackRegistration 参数是指向包含 OB_CALLBACK_REGISTRATION 结构的缓冲区的指针,该缓冲区后跟一个或多个 OB_OPERATION_REGISTRATION 结构的数组。
在传递给 ObRegisterCallback的每个 OB_OPERATION_REGISTRATION 结构中,调用方必须提供一个或两个回调例程。 如果此结构的 PreOperation 和 PostOperation 成员都 NULL,则回调注册作将失败。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 从 Windows Server 2008 开始可用。 |
| 标头 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |