我正在为Windows(WDM驱动程序,32位)构build设备驱动程序,并且需要检测terminal会话的创build和closures。
我知道如何获得调用者进程的会话ID(带有ProcessSessionInformation标志的ZwQueryInformationProcess )。 我也拦截graphics驱动程序加载/卸载到会话中的事件(通过拦截与ZwSetSystemInformation / ZwSetSystemInformation )。
我希望在会话创build/closures事件之后,会调用带有SystemCreateSession / SystemDeleteSession标志的SystemCreateSession 。 但不幸的是,这并没有发生。 到目前为止,我没有find创build/closures会话的好迹象。
SystemCreateSession和SystemDeleteSession不再使用。 我没有对此做过多的调查,但是看看在传递给NtCreateUserProcess的ProcessFlags中何时设置了0x80标记。 这可能与每个会话的CSR创建有关。