1

我正在为 Windows 构建一个设备驱动程序(WDM 驱动程序,32 位),我需要检测终端会话的创建和关闭。

我知道如何获取调用者进程的会话 ID(ZwQueryInformationProcess带有ProcessSessionInformation标志)。我还拦截了图形驱动程序加载/卸载到会话中的事件(通过拦截ZwSetSystemInformation/ SystemLoadImageSystemUnLoadImage

ZwSetSystemInformation我希望会话创建/关闭事件之后将调用SystemCreateSession/SystemDeleteSession标志。但不幸的是,这并没有发生。到目前为止,我没有找到会话创建/关闭的良好指示。

4

1 回答 1

1

SystemCreateSession并且SystemDeleteSession不再使用。我对此没有做太多调查,但看看 0x80 标志何时设置在 ProcessFlags 传递给NtCreateUserProcess. 它可能与每个会话的 CSR 的创建有关。

于 2011-07-20T03:33:21.953 回答