PCREATE_PROCESS_NOTIFY_ROUTINE回呼函式 (ntddk.h)
驅動程式實作的進程建立回呼,以追蹤針對驅動程式內部狀態建立和刪除整個系統的進程。
警告
您可以在此例程中執行的動作會受限於安全呼叫。 請參閱 最佳做法。
語法
PCREATE_PROCESS_NOTIFY_ROUTINE PcreateProcessNotifyRoutine;
void PcreateProcessNotifyRoutine(
[in] HANDLE ParentId,
[in] HANDLE ProcessId,
[in] BOOLEAN Create
)
{...}
參數
[in] ParentId
父進程的進程標識碼。
[in] ProcessId
進程的進程標識碼。
[in] Create
指出進程是建立 (TRUE) 或刪除 (FALSE) 。
傳回值
無
備註
最高層級驅動程式會呼叫 PsSetCreateProcessNotifyRoutine 來註冊其程式建立通知例程。
驅動程式的行程通知例程也會使用 Create 設定為 FALSE 呼叫,通常當進程內的最後一個線程已終止,而進程地址空間即將刪除時。
操作系統會在停用 一般核心 APC 的重要區域內,在PASSIVE_LEVEL呼叫驅動程式的進程通知例程。 建立進程時,進程通知例程會在建立新進程的線程內容中執行。 刪除進程時,進程通知例程會在最後一個線程的內容中執行,以結束進程。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | 從 Windows 2000 開始提供。 |
| 目標平台 | Universal |
| 標頭 | ntddk.h (包含 Ntddk.h) |
| IRQL | PASSIVE_LEVEL |
另請參閱
PsSetCreateProcessNotifyRoutine
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應