OB_POST_OPERATION_INFORMATION结构(wdm.h)
OB_POST_OPERATION_INFORMATION 结构提供有关 ObjectPostCallback 例程的进程或线程句柄作的信息。
语法
typedef struct _OB_POST_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
NTSTATUS ReturnStatus;
POB_POST_OPERATION_PARAMETERS Parameters;
} OB_POST_OPERATION_INFORMATION, *POB_POST_OPERATION_INFORMATION;
成员
Operation
句柄作的类型。 此成员可能是以下值之一:
OB_OPERATION_HANDLE_CREATE
创建了进程或线程的新句柄。 使用 Parameters->CreateHandleInformation 获取特定于创建的信息。
OB_OPERATION_HANDLE_DUPLICATE
进程或线程句柄重复。 使用 Parameters->DuplicateHandleInformation 获取重复特定的信息。
Flags
保留。 请改用 KernelHandle 成员。
KernelHandle
一个 ULONG 值,该值指定句柄是否为内核句柄。 如果此值 TRUE,则句柄是内核句柄。 否则,句柄不是内核句柄。
Reserved
保留供系统使用。
Object
指向作为句柄作目标的进程或线程对象的指针。
ObjectType
指向对象的对象类型的指针。 可以为进程 PsProcessType,也可以为线程 PsThreadType。
CallContext
指向作的特定于驱动程序的上下文信息的指针。 此值是 OperationInformation->CallContext 成员指定 ObjectPreCallback 例程的值。
ReturnStatus
句柄作的 NTSTATUS 值。
Parameters
指向包含作特定信息的 OB_POST_OPERATION_PARAMETERS 联合的指针。 作 成员确定联合的哪个成员有效。 仅当 returnStatus 为成功代码时,指针才有效。
言论
与 OB_PRE_OPERATION_INFORMATION 结构不同,OB_POST_OPERATION_INFORMATION 结构的成员纯粹是信息性的;不能修改它们。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 在 Windows Server 2008 及更高版本的 Windows作系统中可用。 |
| 标头 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |