我对Windows开发非常陌生,特别是在驱动程序创建领域。我想创建一个驱动程序,无论何时卸载另一个驱动程序(任何类型的驱动程序,但最好不是设备驱动程序),都会通知该驱动程序。到目前为止(我可能弄错了)我还没有找到任何允许我实现它的回调函数。
以下是我的问题:
1。)有一个功能可以让我检测驱动程序负载(PsSetLoadImageNotifyRoutine / Ex)。有人告诉我,也许我可以得到另一个驱动程序的驱动程序对象并在驱动程序卸载中设置我的功能,但我没有找到任何功能来做到这一点。是否有一个函数可以在卸载驱动程序时直接获取通知?如果没有,是否有获取驱动程序对象的函数?
2。)因为我没有找到任何第一种方式的功能。现在我想用“事件”来完成这个。当我在WinDbg中运行“.eventlog”时,它显示“Module unloaded”消息。现在我的问题是,有没有办法在使用C的驱动程序中监听此事件?我只能看到用于使用这些事件的工具。如果没有,我可以只阅读“.eventlog”文件并进行处理吗?如果是这样,那么“.eventlog”文件的名称应该是什么?