通过

PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY结构(ntddk.h)

存储有关进程缓解策略的信息。

语法

typedef struct _PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY {
  union {
    ULONG Flags;
    struct {
      ULONG EnableExportAddressFilter : 1;
      ULONG AuditExportAddressFilter : 1;
      ULONG EnableExportAddressFilterPlus : 1;
      ULONG AuditExportAddressFilterPlus : 1;
      ULONG EnableImportAddressFilter : 1;
      ULONG AuditImportAddressFilter : 1;
      ULONG EnableRopStackPivot : 1;
      ULONG AuditRopStackPivot : 1;
      ULONG EnableRopCallerCheck : 1;
      ULONG AuditRopCallerCheck : 1;
      ULONG EnableRopSimExec : 1;
      ULONG AuditRopSimExec : 1;
      ULONG ReservedFlags : 20;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY, *PPROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY;

成员

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

此结构中的标志按位表示。

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableExportAddressFilter

如果设置此项,则为该过程启用强制模式下的“导出地址筛选器”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditExportAddressFilter

如果设置此项,则启用进程的审核模式下的“导出地址筛选器”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableExportAddressFilterPlus

如果设置此项,则为该过程启用强制模式下的“导出地址筛选器加”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditExportAddressFilterPlus

如果设置此项,则启用进程的审核模式下的“导出地址筛选器”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableImportAddressFilter

如果设置此项,则为该过程启用强制模式下的“导入地址筛选器”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditImportAddressFilter

如果设置此项,则为该过程启用强制模式下的“导入地址筛选器”缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopStackPivot

如果设置此选项,则允许在进程的强制模式下启用堆栈透视反 ROP(面向返回的编程)缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopStackPivot

如果设置此项可在进程的审核模式下启用堆栈透视反 ROP(面向返回的编程)缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopCallerCheck

如果设置此项,则允许调用方在强制模式下检查反 ROP(面向返回的编程)缓解过程。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopCallerCheck

如果设置此项,则允许调用方在进程的审核模式下检查反 ROP(面向返回的编程)缓解。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopSimExec

如果设置此项,则会在进程的强制模式下启用模拟执行反 ROP(面向返回的编程)缓解措施。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopSimExec

如果设置此项,则会在进程的审核模式下启用模拟执行反 ROP(面向返回的编程)缓解措施。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

保留。

要求

要求 价值
最低支持的客户端 Windows 10 版本 1709
支持的最低服务器 Windows Server 2016
标头 ntddk.h
  • Last updated on