struktur PS_CREATE_NOTIFY_INFO (ntddk.h)
Struktur PS_CREATE_NOTIFY_INFO menyediakan informasi tentang proses yang baru dibuat.
Sintaks
typedef struct _PS_CREATE_NOTIFY_INFO {
SIZE_T Size;
union {
ULONG Flags;
struct {
ULONG FileOpenNameAvailable : 1;
ULONG IsSubsystemProcess : 1;
ULONG Reserved : 30;
};
};
HANDLE ParentProcessId;
CLIENT_ID CreatingThreadId;
struct _FILE_OBJECT *FileObject;
PCUNICODE_STRING ImageFileName;
PCUNICODE_STRING CommandLine;
NTSTATUS CreationStatus;
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;
Anggota
Size
Ukuran, dalam byte, dari struktur ini. Sistem operasi menggunakan ukuran ini untuk menunjukkan jenis struktur yang diteruskannya ke CreateProcessNotifyEx. Saat ini, anggota ini selalu sizeof(PS_CREATE_NOTIFY_INFO).
Flags
Dicadangkan. Gunakan anggota FileOpenNameAvailable sebagai gantinya.
FileOpenNameAvailable
Nilai Boolean yang menentukan apakah anggota ImageFileName berisi nama file yang tepat yang digunakan untuk membuka file yang dapat dieksekusi proses.
IsSubsystemProcess
Nilai Boolean yang menunjukkan jenis subsistem proses adalah subsistem selain Win32.
IsSubsystemProcess hanya diisi untuk proses subsistem selain Win32 ketika driver telah mendaftar melalui PsSetCreateProcessNotifyRoutineEx2 dengan jenis yang memungkinkan pemberitahuan dari proses subsistem. Ketika IsSubsystemProcess diatur, FileObject, ImageFileName, dan CommandLine mungkin NULL. Driver harus menggunakan ProcessSubsystemInformation untuk mengkueri jenis subsistem jika diperlukan.
Untuk informasi selengkapnya, lihat NtQueryInformationProcess.
Reserved
Dicadangkan untuk penggunaan sistem.
ParentProcessId
ID proses proses induk untuk proses baru. Perhatikan bahwa proses induk belum tentu sama dengan proses yang membuat proses baru. Proses baru dapat mewarisi properti tertentu dari proses induk, seperti handel atau memori bersama. (ID proses pembuat proses diberikan oleh CreatingThreadId->UniqueProcess.)
CreatingThreadId
ID proses dan ID utas proses dan utas yang membuat proses baru. CreatingThreadId-UniqueProcess> berisi ID proses, danCreatingThreadId-UniqueThread> berisi ID utas.
FileObject
Penunjuk ke objek file untuk file yang dapat dieksekusi proses.
Jika IsSubsystemProcess TRUE, nilai ini mungkin NULL.
ImageFileName
Penunjuk ke string UNICODE_STRING yang menyimpan nama file yang dapat dieksekusi. Jika anggota FileOpenNameAvailable adalah TRUE, string menentukan nama file yang tepat yang digunakan untuk membuka file yang dapat dieksekusi. Jika FileOpenNameAvailableFALSE, sistem operasi mungkin hanya memberikan nama parsial.
Jika IsSubsystemProcess TRUE, nilai ini mungkin NULL.
CommandLine
Penunjuk ke string UNICODE_STRING yang memegang perintah yang digunakan untuk menjalankan proses. Jika perintah tidak tersedia, CommandLine adalah NULL.
Jika IsSubsystemProcess TRUE, nilai ini mungkin NULL.
CreationStatus
Nilai NTSTATUS yang akan dikembalikan untuk operasi pembuatan proses. Driver dapat mengubah nilai ini menjadi kode kesalahan untuk mencegah proses dibuat.
Persyaratan
| Persyaratan | Nilai |
|---|---|
| Header | ntddk.h (termasuk Ntddk.h) |