1

Windows 用のデバイス ドライバー (WDM ドライバー、32 ビット) を作成しています。ターミナル セッションの作成と終了を検出する必要があります。

呼び出し元プロセスのセッション ID を取得する方法を知っています (フラグZwQueryInformationProcess付き)。ProcessSessionInformationまた、セッションへのグラフィックドライバーのロード/アンロードのイベントをインターセプトしています ( /でインターセプトZwSetSystemInformationすることにより)。SystemLoadImageSystemUnLoadImage

そして、セッションの作成/終了イベントの後に/フラグをZwSetSystemInformation使用した呼び出しが続くことを願っていました。しかし、残念ながらこれは起こりません。これまでのところ、セッションの作成/終了の適切な兆候は見つかりませんでした。SystemCreateSessionSystemDeleteSession

4

1 に答える 1

1

SystemCreateSessionそしてSystemDeleteSessionもう使われていません。これについてはあまり調査していませんが、 に渡された ProcessFlags に 0x80 フラグが設定されている場合を見てくださいNtCreateUserProcess。セッションごとの CSR の作成に関連している可能性があります。

于 2011-07-20T03:33:21.953 に答える