OB_POST_OPERATION_INFORMATION 结构 (wdm.h)
OB_POST_OPERATION_INFORMATION 结构向 ObjectPostCallback 例程提供有关进程或线程句柄操作的信息。
语法
typedef struct _OB_POST_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
NTSTATUS ReturnStatus;
POB_POST_OPERATION_PARAMETERS Parameters;
} OB_POST_OPERATION_INFORMATION, *POB_POST_OPERATION_INFORMATION;
成员
Operation
句柄操作的类型。 此成员可能是以下值之一:
OB_OPERATION_HANDLE_CREATE
已创建进程或线程的新句柄。 使用 Parameters-CreateHandleInformation> 获取特定于创建的信息。
OB_OPERATION_HANDLE_DUPLICATE
进程或线程句柄已重复。 使用 Parameters-DuplicateHandleInformation> 获取重复的特定信息。
Flags
保留。 请改用 KernelHandle 成员。
KernelHandle
一个 ULONG 值,该值指定句柄是否为内核句柄。 如果此值为 TRUE,则句柄为内核句柄。 否则,句柄不是内核句柄。
Reserved
预留给系统使用。
Object
指向作为句柄操作目标的进程或线程对象的指针。
ObjectType
指向 对象的对象类型的指针。 此类型可以是进程的 PsProcessType ,也可以是线程的 PsThreadType 。
CallContext
指向操作的特定于驱动程序的上下文信息的指针。 此值是 OperationInformation-CallContext> 成员为ObjectPreCallback 例程指定的值。
ReturnStatus
句柄操作的 NTSTATUS 值。
Parameters
指向包含操作特定信息的 OB_POST_OPERATION_PARAMETERS 联合的指针。 Operation 成员确定联合的哪个成员有效。 仅当 ReturnStatus 是成功代码时,指针才有效。
注解
与 OB_PRE_OPERATION_INFORMATION 结构不同, OB_POST_OPERATION_INFORMATION 结构的成员纯粹是信息性的;你无法修改它们。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | 在 Windows Server 2008 及更高版本的 Windows 操作系统中可用。 |
| 标头 | wdm.h(包括 Wdm.h、Ntddk.h、Ntifs.h) |