OB_PRE_OPERATION_INFORMATION結構 (wdm.h)
OB_PRE_OPERATION_INFORMATION 結構會將進程或線程句柄作業的相關信息提供給 ObjectPreCallback 例程。
語法
typedef struct _OB_PRE_OPERATION_INFORMATION {
OB_OPERATION Operation;
union {
ULONG Flags;
struct {
ULONG KernelHandle : 1;
ULONG Reserved : 31;
};
};
PVOID Object;
POBJECT_TYPE ObjectType;
PVOID CallContext;
POB_PRE_OPERATION_PARAMETERS Parameters;
} OB_PRE_OPERATION_INFORMATION, *POB_PRE_OPERATION_INFORMATION;
成員
Operation
句柄作業的類型。 此成員可能是下列其中一個值:
OB_OPERATION_HANDLE_CREATE
將會開啟進程或線程的新句柄。 使用 Parameters-CreateHandleInformation> 取得建立特定資訊。
OB_OPERATION_HANDLE_DUPLICATE
進程或線程句柄將會重複。 使用 Parameters-DuplicateHandleInformation> 取得重複的特定資訊。
Flags
保留的。 請改用 KernelHandle 成員。
KernelHandle
指定句柄是否為核心句柄的位。 如果這個成員為 TRUE,句柄就是核心句柄。 否則,這個句柄不是核心句柄。
Reserved
保留供系統使用。
Object
進程或線程物件的指標,該物件是句柄作業的目標。
ObjectType
對象的物件型別指標。 這個成員是線程的處理程式或 PsThreadType 的 PsProcessType。
CallContext
作業之驅動程式特定內容資訊的指標。 根據預設,篩選管理員會將這個成員設定為 NULL,但 ObjectPreCallback 例程可以透過驅動程式特定的方式重設 CallContext 成員。 篩選管理員會將此值傳遞至相符 的 ObjectPostCallback 例程。
Parameters
包含作業特定資訊的 OB_PRE_OPERATION_PARAMETERS 聯集指標。 Operation 成員會決定聯集的哪個成員有效。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | 適用於 Windows Server 2008 和更新版本的 Windows 作業系統。 |
| 標頭 | wdm.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |