Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我要写如下交互:
当有一个进程即将启动时,驱动程序会通知用户应用程序,然后它会等待应用程序的响应。 该应用程序将决定是否允许该进程正常创建或立即终止,并将其决定发送回驱动程序。 基于用户应用程序的决定。然后驱动程序将允许或阻止进程执行。
当有一个进程即将启动时,驱动程序会通知用户应用程序,然后它会等待应用程序的响应。
该应用程序将决定是否允许该进程正常创建或立即终止,并将其决定发送回驱动程序。
基于用户应用程序的决定。然后驱动程序将允许或阻止进程执行。
我的问题是:从驱动程序通知用户模式应用程序然后让驱动程序等待响应的推荐方法是什么?
对于事件通知,您可以使用通知事件。即内核调用IoCreateNotificationEvent 和KeSetEvent。用户调用 KeWaitForSingleObject。对于用户内核消息通信,您可以使用 IOCTL。
或者,您可以将命名管道用于这两个目的。
PS您不能将 PsSetCreateProcessNotifyRoutine() 用于您的目的,因为它仅用于审核,而不用于预防/取消。