OB_POST_OPERATION_INFORMATION結構 (wdm.h)
OB_POST_OPERATION_INFORMATION 結構會將進程或線程句柄作業的相關信息提供給 ObjectPostCallback 例程。
語法
typedef struct _OB_POST_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
NTSTATUS ReturnStatus;
POB_POST_OPERATION_PARAMETERS Parameters;
} OB_POST_OPERATION_INFORMATION, *POB_POST_OPERATION_INFORMATION;
成員
Operation
句柄作業的類型。 此成員可能是下列其中一個值:
OB_OPERATION_HANDLE_CREATE
已建立進程或線程的新句柄。 使用 Parameters-CreateHandleInformation> 取得建立特定資訊。
OB_OPERATION_HANDLE_DUPLICATE
進程或線程句柄重複。 使用 Parameters-DuplicateHandleInformation> 取得重複的特定資訊。
Flags
保留的。 請改用 KernelHandle 成員。
KernelHandle
ULONG 值,指定句柄是否為核心句柄。 如果此值為 TRUE,句柄就是核心句柄。 否則,句柄不是核心句柄。
Reserved
保留供系統使用。
Object
進程或線程物件的指標,該物件是句柄作業的目標。
ObjectType
對象的物件型別指標。 此類型可以是 進程的 PsProcessType 或線程的 PsThreadType 。
CallContext
作業之驅動程式特定內容資訊的指標。 這個值是 OperationInformation-CallContext> 成員指定給 ObjectPreCallback 例程的值。
ReturnStatus
句柄作業的NTSTATUS值。
Parameters
包含作業特定資訊的 OB_POST_OPERATION_PARAMETERS 聯集指標。 Operation 成員會決定聯集的哪個成員有效。 只有在 ReturnStatus 是成功程式代碼時,指標才有效。
備註
不同於 OB_PRE_OPERATION_INFORMATION 結構, OB_POST_OPERATION_INFORMATION 結構的成員只是參考性;您無法修改它們。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | 適用於 Windows Server 2008 和更新版本的 Windows 作業系統。 |
| 標頭 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |