POB_POST_OPERATION_CALLBACK回调函数 (wdm.h)
发生进程或线程句柄操作后,操作系统会调用 ObjectPostCallback 例程。
警告
对于安全调用,可以在此回调中执行的操作受到限制。 有关详细信息,请参阅 Windows Kernel-Mode 进程和线程管理器。
POB_POST_OPERATION_CALLBACK PobPostOperationCallback;
void PobPostOperationCallback(
[in] PVOID RegistrationContext,
[in] POB_POST_OPERATION_INFORMATION OperationInformation
)
{...}
[in] RegistrationContext
驱动程序指定为 ObRegisterCallbacks 例程的 CallBackRegistration-RegistrationContext> 参数的上下文。 此值的含义是驱动程序定义的。
[in] OperationInformation
指向 OB_POST_OPERATION_INFORMATION 结构的指针,该结构指定句柄操作的参数。
无
使用 ObRegisterCallbacks 例程注册 ObjectPostCallback 例程,并使用 ObUnRegisterCallbacks 例程取消注册例程。
在进程句柄或线程句柄上的操作完成之后调用 ObjectPostCallback 例程,而 ObjectPreCallback 例程在操作发生之前调用。 ObjectPreCallback 例程的 OperationInformation 参数是指向OB_PRE_OPERATION_INFORMATION结构的指针,该结构包含可修改的信息。 相比之下,ObjectPostCallback 例程的 OperationInformation 参数是指向OB_POST_OPERATION_INFORMATION结构的指针。 此结构的内容是信息性的,你不能修改它们。
在禁用了正常内核 APC 的任意线程上下文中PASSIVE_LEVEL调用此例程。 未禁用特殊内核 APC。 有关 APC 的详细信息,请参阅 APC 的类型。
要求 | 值 |
---|---|
最低受支持的客户端 | 从 Windows Server 2008 开始可用。 |
目标平台 | 桌面 |
标头 | wdm.h(包括 Wdm.h、Ntddk.h、Ntifs.h) |
IRQL | PASSIVE_LEVEL (请参阅备注部分) 调用。 |