OB_PRE_OPERATION_INFORMATION结构 (wdm.h)
OB_PRE_OPERATION_INFORMATION 结构提供有关 ObjectPreCallback 例程的进程或线程句柄作的信息。
语法
typedef struct _OB_PRE_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;
成员
Operation
句柄作的类型。 此成员可能是以下值之一:
OB_OPERATION_HANDLE_CREATE
将打开进程或线程的新句柄。 使用 Parameters->CreateHandleInformation 获取特定于创建的信息。
OB_OPERATION_HANDLE_DUPLICATE
进程或线程句柄将重复。 使用 Parameters->DuplicateHandleInformation 获取重复特定的信息。
Flags
保留。 请改用 KernelHandle 成员。
KernelHandle
指定句柄是否为内核句柄的位。 如果此成员 TRUE,则句柄是内核句柄。 否则,此句柄不是内核句柄。
Reserved
保留供系统使用。
Object
指向作为句柄作目标的进程或线程对象的指针。
ObjectType
指向对象的对象类型的指针。 此成员是线程的 PsProcessType,或者 PsThreadType。
CallContext
指向作的特定于驱动程序的上下文信息的指针。 默认情况下,筛选器管理器将此成员设置为 NULL,但 ObjectPreCallback 例程可以采用特定于驱动程序的方式重置 CallContext 成员。 筛选器管理器将此值传递给匹配的 ObjectPostCallback 例程。
Parameters
指向包含作特定信息的 OB_PRE_OPERATION_PARAMETERS 联合的指针。 作 成员确定联合的哪个成员有效。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | 在 Windows Server 2008 及更高版本的 Windows作系统中可用。 |
| 标头 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |