我对 Windows 开发非常陌生,特别是在驱动程序创建领域。我想创建一个驱动程序,每当卸载另一个驱动程序(任何类型的驱动程序,但最好不是设备驱动程序)时都会收到通知。到目前为止(我可能弄错了)我还没有找到任何允许我实现它的回调函数。
以下是我的问题:
1.) 有一个函数可以让我检测驱动程序负载 (PsSetLoadImageNotifyRoutine/Ex)。有人告诉我,也许我可以获取另一个驱动程序的驱动程序对象并将我的函数设置在从那里卸载的驱动程序中,但我还没有找到任何函数可以做到这一点。是否有在卸载驱动程序时直接获取通知的功能?如果没有,是否有获取驱动程序对象的功能?
2.)因为我还没有找到第一种“方式”的功能。现在我正在尝试使用“事件”来实现这一点。当我在 WinDbg 中运行“.eventlog”时,它显示“模块已卸载”消息。现在我的问题是,有没有办法在使用 C 的驱动程序中收听这个事件?我只能看到用于消费这些事件的工具。如果没有,我可以只读取“.eventlog”文件并进行处理吗?如果是这样,“.eventlog”文件的名称应该是什么?