PCREATE_PROCESS_NOTIFY_ROUTINE Rückruffunktion (ntddk.h)

Rückruf zur Prozesserstellung, der von einem Treiber implementiert wird, um die systemweite Erstellung und Löschung von Prozessen anhand des internen Zustands des Treibers nachzuverfolgen.

Warnung

Die Aktionen, die Sie in dieser Routine ausführen können, sind für sichere Anrufe eingeschränkt. Weitere Informationen finden Sie unter Bewährte Methoden.

Syntax

PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;

void PcreateProcessNotifyRoutine(
  [in] HANDLE ParentId,
  [in] HANDLE ProcessId,
  [in] BOOLEAN Create
)
{...}

Parameter

[in] ParentId

Die Prozess-ID des übergeordneten Prozesses.

[in] ProcessId

Die Prozess-ID des Prozesses.

[in] Create

Gibt an, ob der Prozess erstellt (TRUE) oder gelöscht wurde (FALSE).

Rückgabewert

Keine

Bemerkungen

Treiber der höchsten Ebene rufen PsSetCreateProcessNotifyRoutine auf, um ihre Benachrichtigungsroutinen für die Prozesserstellung zu registrieren.

Die Prozessbenachrichtigungsroutine eines Treibers wird auch aufgerufen, wenn Create auf FALSE festgelegt ist, in der Regel dann, wenn der letzte Thread innerhalb eines Prozesses beendet wurde und der Prozessadressraum gerade gelöscht werden soll.

Das Betriebssystem ruft die Prozessbenachrichtigungsroutine des Treibers in PASSIVE_LEVEL in einer kritischen Region mit deaktivierten normalen Kernel-APCs auf. Wenn ein Prozess erstellt wird, wird die Prozessbenachrichtigungsroutine im Kontext des Threads ausgeführt, der den neuen Prozess erstellt hat. Wenn ein Prozess gelöscht wird, wird die Prozessbenachrichtigungsroutine im Kontext des letzten Threads ausgeführt, um den Prozess zu beenden.

Anforderungen

Anforderung	Wert
Unterstützte Mindestversion (Client)	Verfügbar ab Windows 2000.
Zielplattform	Universell
Header	ntddk.h (include Ntddk.h)
IRQL	PASSIVE_LEVEL

Weitere Informationen

PsSetCreateProcessNotifyRoutine