1
私はWindows用のデバイスドライバ(WDMドライバ、32ビット)を構築しており、ターミナルセッションの作成と終了を検出する必要があります。WDMドライバでセッションの作成/終了を検出するにはどうすればよいですか?
私は、発信者プロセスのセッションID(ZwQueryInformationProcessにProcessSessionInformationフラグを付ける)を取得する方法を知っています。私はまた、グラフィックスドライバのロード/アンロードを(ZwSetSystemInformationをSystemLoadImage/SystemUnLoadImageで傍受して)セッションにロードすることを傍受しています。
セッションの作成/終了イベントの後に、/SystemDeleteSessionフラグを持つZwSetSystemInformationの呼び出しが行われることを期待しました。しかし残念ながら、これは起こりません。これまでのところ、私はセッションの作成/終了の良い兆候を見いだせませんでした。