共用方式為

PsSetLoadImageNotifyRoutineEx 函式 (ntddk.h)

  • 發行項

PsSetLoadImageNotifyRoutineEx 例程會註冊驅動程式提供的回呼,每當映射 (例如,DLL 或 EXE) 載入 (或對應至記憶體) 時,就會收到後續通知。

語法

NTSTATUS PsSetLoadImageNotifyRoutineEx(
  [in] PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine,
  [in] ULONG_PTR                  Flags
);

參數

[in] NotifyRoutine

呼叫端實作 PLOAD_IMAGE_NOTIFY_ROUTINE 回呼例程的指標,用於載入映像通知。

[in] Flags

提供控制回呼函式之旗標的位掩碼。 下列為可能的值:

  • PS_IMAGE_NOTIFY_CONFLICTING_ARCHITECTURE表示應該針對所有可能可執行的映像叫用回呼例程,包括與操作系統原生架構不同的映像。

傳回值

傳回碼 Description
STATUS_SUCCESS
已成功註冊回呼。
STATUS_INVALID_PARAMETER_2
 旗標中提供了無效 的旗標
STATUS_INSUFFICIENT_RESOURCES
 例程因為資源不足而無法配置回呼區塊。

備註

最高層級的系統分析驅動程式可以呼叫 PsSetLoadImageNotifyRoutineEx 來設定其載入映像通知例程, (請參閱PLOAD_IMAGE_NOTIFY_ROUTINE) 。

可以同時註冊以接收載入映像通知的驅動程式數目上限為 64。 如果驅動程式呼叫 PsSetLoadImageNotifyRoutineEx 嘗試註冊額外的通知例程時,已註冊載入映像通知例程的數目上限, PsSetLoadImageNotifyRoutineEx 會失敗並傳回STATUS_INSUFFICIENT_RESOURCES。

驅動程式必須在卸除之前移除它註冊的任何回呼。 您可以呼叫 PsRemoveLoadImageNotifyRoutine 例程來移除回呼。

規格需求

需求
最低支援的用戶端 Windows 10 (版本 1709)
最低支援的伺服器 Windows Server 2016
目標平台 Windows
標頭 ntddk.h
程式庫 NtosKrnl.lib
Dll NtosKrnl.exe (核心模式)
IRQL PASSIVE_LEVEL