PCREATE_PROCESS_NOTIFY_ROUTINE回调函数 (ntddk.h)
由驱动程序实现的进程创建回调,用于跟踪系统范围内针对驱动程序的内部状态创建和删除的进程。
警告
可以在此例程中执行的操作仅限于安全调用。 请参阅 最佳做法。
语法
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
参数
[in] ParentId
父进程的进程 ID。
[in] ProcessId
进程的进程 ID。
[in] Create
指示进程是 (TRUE) 创建还是 (FALSE) 删除。
返回值
无
备注
最高级别的驱动程序调用 PsSetCreateProcessNotifyRoutine 来注册其进程创建通知例程。
驱动程序的进程通知例程也调用,并将 Create 设置为 FALSE,通常当进程内的最后一个线程已终止且进程地址空间即将删除时。
操作系统在禁用 正常内核 APC 的关键区域内PASSIVE_LEVEL调用驱动程序的进程通知例程。 创建进程后,进程通知例程在创建新进程的线程的上下文中运行。 删除进程时,进程通知例程在要退出进程的最后一个线程的上下文中运行。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | 从 Windows 2000 开始可用。 |
| 目标平台 | 通用 |
| 标头 | ntddk.h (包括 Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
另请参阅
PsSetCreateProcessNotifyRoutine
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈