wdm.h) (OB_PRE_OPERATION_INFORMATION 结构
OB_PRE_OPERATION_INFORMATION 结构向 ObjectPreCallback 例程提供有关进程或线程句柄操作的信息。
语法
typedef struct _OB_PRE_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;
成员
Operation
句柄操作的类型。 此成员可能是以下值之一:
OB_OPERATION_HANDLE_CREATE
将打开进程或线程的新句柄。 使用 Parameters-CreateHandleInformation> 获取特定于创建的信息。
OB_OPERATION_HANDLE_DUPLICATE
将复制进程或线程句柄。 使用 Parameters-DuplicateHandleInformation> 获取重复的特定信息。
Flags
保留。 请改用 KernelHandle 成员。
KernelHandle
一个位,指定句柄是否为内核句柄。 如果此成员为 TRUE,则句柄为内核句柄。 否则,此句柄不是内核句柄。
Reserved
预留给系统使用。
Object
指向作为句柄操作目标的进程或线程对象的指针。
ObjectType
指向 对象的对象类型的指针。 此成员是进程的 PsProcessType 或线程的 PsThreadType 。
CallContext
指向操作的特定于驱动程序的上下文信息的指针。 默认情况下,筛选器管理器将此成员设置为 NULL,但 ObjectPreCallback 例程可以特定于驱动程序的方式重置 CallContext 成员。 筛选器管理器将此值传递给匹配的 ObjectPostCallback 例程。
Parameters
指向包含操作特定信息的 OB_PRE_OPERATION_PARAMETERS 联合的指针。 Operation 成员确定联合的哪个成员有效。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | 在 Windows Server 2008 及更高版本的 Windows 操作系统中可用。 |
| 标头 | wdm.h(包括 Wdm.h、Ntddk.h、Ntifs.h) |