OB_POST_OPERATION_INFORMATION結構 (wdm.h)
OB_POST_OPERATION_INFORMATION 結構會將進程或線程句柄作業的相關信息提供給 ObjectPostCallback 例程。
語法
typedef struct _OB_POST_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
NTSTATUS ReturnStatus;
POB_POST_OPERATION_PARAMETERS Parameters;
} OB_POST_OPERATION_INFORMATION, *POB_POST_OPERATION_INFORMATION;
成員
Operation
句柄作業的類型。 這個成員可能是下列其中一個值:
OB_OPERATION_HANDLE_CREATE
已建立進程或線程的新句柄。 使用 Parameters->CreateHandleInformation 來取得建立特定資訊。
OB_OPERATION_HANDLE_DUPLICATE
進程或線程句柄重複。 使用 Parameters->DuplicateHandleInformation 來取得重複的特定資訊。
Flags
保留。 請改用 KernelHandle 成員。
KernelHandle
ULONG 值,指定句柄是否為核心句柄。 如果此值 TRUE,則句柄是核心句柄。 否則,句柄不是核心句柄。
Reserved
保留供系統使用。
Object
進程或線程物件的指標,該物件是句柄作業的目標。
ObjectType
對象的物件型別指標。 此類型可以針對進程 PsProcessType,或線程 PsThreadType。
CallContext
作業之驅動程式特定內容資訊的指標。 這個值是 operationInformation ->CallContext 成員指定給 ObjectPreCallback 例程的值。
ReturnStatus
句柄作業的NTSTATUS值。
Parameters
包含作業特定資訊的 OB_POST_OPERATION_PARAMETERS 聯集指標。 作業 成員會決定聯集的哪個成員有效。 只有當 returnStatus 為成功程式代碼時,指標才有效。
言論
不同於 OB_PRE_OPERATION_INFORMATION 結構,OB_POST_OPERATION_INFORMATION 結構的成員純粹是參考的:您無法修改它們。
要求
| 要求 | 價值 |
|---|---|
| 最低支援的用戶端 | 適用於 Windows Server 2008 和更新版本的 Windows作系統。 |
| 標頭 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |