共用方式為

OB_PRE_OPERATION_INFORMATION結構 (wdm.h)

  • 發行項

OB_PRE_OPERATION_INFORMATION 結構會將進程或線程句柄作業的相關信息提供給 ObjectPreCallback 例程。

語法

typedef struct _OB_PRE_OPERATION_INFORMATION {
  OB_OPERATION                 Operation;
  union {
    ULONG Flags;
    struct {
      ULONG KernelHandle : 1;
      ULONG Reserved : 31;
    };
  };
  PVOID                        Object;
  POBJECT_TYPE                 ObjectType;
  PVOID                        CallContext;
  POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;

成員

Operation

句柄作業的類型。 此成員可能是下列其中一個值:

OB_OPERATION_HANDLE_CREATE

將會開啟進程或線程的新句柄。 使用 Parameters-CreateHandleInformation> 取得建立特定資訊。

OB_OPERATION_HANDLE_DUPLICATE

進程或線程句柄將會重複。 使用 Parameters-DuplicateHandleInformation> 取得重複的特定資訊。

Flags

保留的。 請改用 KernelHandle 成員。

KernelHandle

指定句柄是否為核心句柄的位。 如果這個成員為 TRUE,句柄就是核心句柄。 否則,這個句柄不是核心句柄。

Reserved

保留供系統使用。

Object

進程或線程物件的指標,該物件是句柄作業的目標。

ObjectType

對象的物件型別指標。 這個成員是線程的處理程式或 PsThreadTypePsProcessType

CallContext

作業之驅動程式特定內容資訊的指標。 根據預設,篩選管理員會將這個成員設定為 NULL,但 ObjectPreCallback 例程可以透過驅動程式特定的方式重設 CallContext 成員。 篩選管理員會將此值傳遞至相符 的 ObjectPostCallback 例程。

Parameters

包含作業特定資訊的 OB_PRE_OPERATION_PARAMETERS 聯集指標。 Operation 成員會決定聯集的哪個成員有效。

規格需求

需求
最低支援的用戶端 適用於 Windows Server 2008 和更新版本的 Windows 作業系統。
標頭 wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h)

另請參閱

OB_PRE_OPERATION_PARAMETERS

ObjectPostCallback

ObjectPreCallback