OB_PRE_OPERATION_INFORMATION結構 (wdm.h)
OB_PRE_OPERATION_INFORMATION 結構會將進程或線程句柄作業的相關信息提供給 ObjectPreCallback 例程。
語法
typedef struct _OB_PRE_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;
成員
Operation
句柄作業的類型。 這個成員可能是下列其中一個值:
OB_OPERATION_HANDLE_CREATE
將會開啟進程或線程的新句柄。 使用 Parameters->CreateHandleInformation 來取得建立特定資訊。
OB_OPERATION_HANDLE_DUPLICATE
進程或線程句柄將會重複。 使用 Parameters->DuplicateHandleInformation 來取得重複的特定資訊。
Flags
保留。 請改用 KernelHandle 成員。
KernelHandle
指定句柄是否為核心句柄的位。 如果這個成員 TRUE,則句柄是核心句柄。 否則,這個句柄不是核心句柄。
Reserved
保留供系統使用。
Object
進程或線程物件的指標,該物件是句柄作業的目標。
ObjectType
對象的物件型別指標。 此成員是線程 PsProcessType,或線程 PsThreadType。
CallContext
作業之驅動程式特定內容資訊的指標。 根據預設,篩選管理員會將這個成員設定為 NULL,但 ObjectPreCallback 例程可以重設驅動程式特定方式 CallContext 成員。 篩選管理員會將此值傳遞至符合的 ObjectPostCallback 例程。
Parameters
包含作業特定資訊的 OB_PRE_OPERATION_PARAMETERS 聯集指標。 作業 成員會決定聯集的哪個成員有效。
要求
| 要求 | 價值 |
|---|---|
| 最低支援的用戶端 | 適用於 Windows Server 2008 和更新版本的 Windows作系統。 |
| 標頭 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |