プロセスがダウンしたときにKMDFドライバーで通知を受け取る必要があります。PsSetCreateProcessNotifyRoutine作成または破棄されたすべてのプロセスについて通知が表示されるため、使用したくありません。興味のある特定のプロセスIDが破棄/終了/削除された場合にのみ通知を受け取りたいです。(私はプロセスの作成を気にしません)。
これを行うことを考えた1つの方法は、アプリケーションで作成されたイベントをドライバーと共有することです。ドライバーにワーカースレッドを作成し、ユーザーが作成したイベントを待機させます。アプリケーションが終了すると、待機は中止されます。これは、プロセスがいつ終了/終了したかを知るための良い方法ですか、それともこれを行うためのより標準的な方法がありますか?いくつかのフォーラムで、イベントを共有することは良い考えではなく、重複したioctlを使用する必要があることを読みましたが、ここでは明らかに機能しません。
解決済み:これは私がしたことです:(私のドライバーはトップレベルのモノリシックドライバーです)
プロセスIDを持つZwOpenProcessを使用して、プロセスへのハンドルを取得しました。
プロセスハンドルとともにObReferenceObjectByHandleを使用して、ディスパッチャオブジェクトを取得しました。
PsCreateSystemThreadを使用してシステムスレッドを作成し、ディスパッチされたオブジェクトに渡しました。
上記の手順で作成したシステムスレッドを作成し、KeWaitForSingleObjectを使用してディスパッチされたオブジェクトを待機します。
プログラムでプロセスを終了するか、例外を発生させ、XGUIボタンを使用してプロセスを閉じました。それらはすべて、作成されたシステムスレッドを目覚めさせました。
これにより、基本的に、対象のプロセスが終了したときに通知が届きます。
PsSetCreateProcessNotifyRoutineを使用して、ProcessIdを確認するだけです。