我即将撰写以下互动:
当有一个即将启动的进程时,驱动程序将通知用户应用程序,然后它将等待应用程序的响应。
应用程序将决定是否允许正常创建或立即终止该进程,然后发送 它决定回到司机那里。
根据用户应用的决定。然后驱动程序将允许或阻止进程执行。
我的问题是:从驱动程序通知用户模式应用程序然后让驱动程序等待响应的建议方法是什么?
答案 0 :(得分:6)
对于事件通知,您可以使用通知事件。即内核调用IoCreateNotificationEvent和KeSetEvent。用户调用KeWaitForSingleObject。对于用户内核消息通信,您可以使用IOCTL。
或者,您可以只使用命名管道。
P.S。您不能将PsSetCreateProcessNotifyRoutine()用于您的目的,因为它仅用于审核,但不用于预防/取消。