次の方法で共有

PsSetCreateProcessNotifyRoutineEx2 関数 (ntddk.h)

PsSetCreateProcessNotifyRoutineEx2 ルーチンは、プロセスの作成または削除時に呼び出し元に通知するコールバック ルーチンを登録または削除します。

構文

NTSTATUS PsSetCreateProcessNotifyRoutineEx2(
  [in] PSCREATEPROCESSNOTIFYTYPE NotifyType,
  [in] PVOID                     NotifyInformation,
  [in] BOOLEAN                   Remove
);

パラメーター

[in] NotifyType

PSCREATEPROCESSNOTIFYTYPEプロセス通知の種類を示す -type 値です。

[in] NotifyInformation

指定した種類のプロセス通知の通知情報のアドレス。 NotifyType が PsCreateProcessNotifySubsystems されている場合、NotifyInformation は、呼び出し元が指定したプロセス作成コールバックのエントリ ポイントを指定する PCREATE_PROCESS_NOTIFY_ROUTINE_EX です。

[in] Remove

psSetCreateProcessNotifyRoutineEx2 コールバック ルーチンの一覧から指定されたルーチンを追加または削除するかどうかを指定するブール値。 このパラメーターが TRUE 場合、指定されたルーチンはコールバック ルーチンの一覧から削除されます。 このパラメーターが FALSE 場合は、指定されたルーチンがコールバック ルーチンの一覧に追加されます。 Remove が TRUE 場合、システムは、すべてのインフライト コールバック ルーチンが完了するまで待機してから戻ります。

戻り値

PsSetCreateProcessNotifyRoutineEx2 は、次のいずれかの NTSTATUS 値を返します。

リターン コード 形容
STATUS_SUCCESS
 指定されたルーチンがオペレーティング システムに登録されました。 オペレーティング システムは、新しいプロセスが作成されるたびにこのルーチンを呼び出します。
STATUS_INVALID_PARAMETER
 指定されたルーチンが既に登録されているか、オペレーティング システムがプロセス作成コールバック ルーチンを登録するための制限に達しました。

NotifyType が PsCreateProcessNotifySubsystems されていません。
STATUS_ACCESS_DENIED
 コールバック ルーチン ポインターを含むイメージのイメージ ヘッダーにIMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITYが設定されていませんでした。

備考

ドライバー PsSetCreateProcessNotifyRoutineEx2 を呼び出して、プロセス作成通知ルーチンを登録できます。

ドライバー提供のルーチンが登録されると、作成または削除されたプロセスの一意の ID (ProcessIdで示されます) を使用して呼び出されます。 ParentId は、継承ハンドル オプションを使用して作成された場合に、新しいプロセスの親プロセス (優先度、アフィニティ、クォータ、トークン、ハンドル継承などに使用される親) を識別します。 継承ハンドル オプションなしで作成された場合、親プロセス ID は NULL になります。

作成 値が TRUE の場合、サブシステム プロセスが作成されました。FALSE は、プロセスが削除されたことを示します。

プロセスが作成されると、プロセスの最初のスレッドが作成された直後にコールバック関数が呼び出されます。 逆に、削除の場合、プロセスの最後のスレッドが終了し、アドレス空間が削除されようとした後に関数が呼び出されます。 プロセスが作成され、スレッドが作成されずに削除された場合に、作成呼び出しを受け取ることなく、コールバックが削除のためにのみ呼び出される可能性があります。

ドライバーは、アンロードする前に登録されているコールバック関数を削除する必要があります。 Remove = TRUEで PsSetCreateProcessNotifyRoutineEx2 呼び出すことによって、コールバックを削除できます。

必要条件

要件 価値
サポートされる最小クライアント Windows 10 バージョン 1703
サポートされる最小サーバー Windows Server 2016
ターゲット プラットフォーム 万国
ヘッダー ntddk.h (Ntddk.h を含む)
ライブラリ NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL
DDI コンプライアンス規則 する HwStorPortProhibitedDIs、PowerIrpDDis

関連項目

PCREATE_PROCESS_NOTIFY_ROUTINE_EX

PsSetCreateProcessNotifyRoutine

PsSetCreateProcessNotifyRoutineEx