PsSetCreateProcessNotifyRoutineEx函数创建进程回调
NTSTATUS status = PsSetCreateProcessNotifyRoutineEx(
(PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE);
第一个参数是真实处理的回调函数,第二个参数是BOOLEAN Remove。为True时即是卸载回调函数。
VOID ProcessNotifyExRoutine(PEPROCESS pEProcess, HANDLE hProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
// CreateInfo 为 NULL 时,表示进程退出;不为 NULL 时,表示进程创建
if (NULL == CreateInfo)