PsSetLoadImageNotifyRoutineEx 函式 (ntddk.h)
PsSetLoadImageNotifyRoutineEx 例程會註冊驅動程式提供的回呼,每當載入映像(例如 DLL 或 EXE)時,就會通知該回呼(例如 DLL 或 EXE)。
語法
NTSTATUS PsSetLoadImageNotifyRoutineEx(
[in] PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine,
[in] ULONG_PTR Flags
);
參數
[in] NotifyRoutine
載入映像通知之呼叫端實作 PLOAD_IMAGE_NOTIFY_ROUTINE 回呼例程的指標。
[in] Flags
提供控制回呼函式的旗標位掩碼。 以下是可能的值:
- PS_IMAGE_NOTIFY_CONFLICTING_ARCHITECTURE表示應該針對所有可能可執行的映像叫用回呼例程,包括具有與作系統原生架構不同架構的映像。
傳回值
| 傳回碼 | 描述 |
|---|---|
|
已成功註冊回呼。 |
|
Flags中提供無效的旗標。 |
|
由於資源不足,例程無法配置回呼區塊。 |
言論
最高層級的系統分析驅動程式可以呼叫 PsSetLoadImageNotifyRoutineEx 來設定其載入映射通知例程(請參閱 PLOAD_IMAGE_NOTIFY_ROUTINE)。
可以同時註冊以接收載入映像通知的驅動程式數目上限為 64。 如果驅動程式呼叫 PsSetLoadImageNotifyRoutineEx 嘗試註冊其他通知例程時,已註冊載入映射通知例程的最大數目,PsSetLoadImageNotifyRoutineEx 失敗並傳回STATUS_INSUFFICIENT_RESOURCES。
驅動程式必須先移除它註冊的任何回呼,才能卸除。 您可以呼叫 PsRemoveLoadImageNotifyRoutine 例程來移除回呼。
要求
| 要求 | 價值 |
|---|---|
| 最低支援的用戶端 | Windows 10 版本 1709 |
| 支援的最低伺服器 | Windows Server 2016 |
| 目標平臺 | 窗戶 |
| 標頭 | ntddk.h |
| 連結庫 | NtosKrnl.lib |
| DLL | NtosKrnl.exe (核心模式) |
| IRQL | PASSIVE_LEVEL |