PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY 结构 (ntddk.h)

  • 项目

存储有关进程缓解策略的信息。

语法

typedef struct _PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY {
  union {
    ULONG Flags;
    struct {
      ULONG EnableExportAddressFilter : 1;
      ULONG AuditExportAddressFilter : 1;
      ULONG EnableExportAddressFilterPlus : 1;
      ULONG AuditExportAddressFilterPlus : 1;
      ULONG EnableImportAddressFilter : 1;
      ULONG AuditImportAddressFilter : 1;
      ULONG EnableRopStackPivot : 1;
      ULONG AuditRopStackPivot : 1;
      ULONG EnableRopCallerCheck : 1;
      ULONG AuditRopCallerCheck : 1;
      ULONG EnableRopSimExec : 1;
      ULONG AuditRopSimExec : 1;
      ULONG ReservedFlags : 20;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY, *PPROCESS_MITIGATION_PAYLOAD_RESTRICTION_POLICY;

成员

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

此结构中的标志的按位。

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableExportAddressFilter

如果设置此项,则为该过程启用强制模式下的导出地址筛选器缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditExportAddressFilter

如果设置此项,则为进程启用审核模式下的导出地址筛选器缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableExportAddressFilterPlus

如果设置此项,则为该过程启用强制模式下的“导出地址筛选器加号”缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditExportAddressFilterPlus

如果设置此项,则为进程启用审核模式下的导出地址筛选器缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableImportAddressFilter

如果设置此项,则为进程启用强制模式下的导入地址筛选器缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditImportAddressFilter

如果设置此项,则为进程启用强制模式下的导入地址筛选器缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopStackPivot

如果设置此项,则启用堆栈透视反 ROP (面向返回的编程) 流程强制模式下的缓解。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopStackPivot

如果设置此项,则启用堆栈透视反 ROP (面向返回的编程) 流程审核模式下的缓解措施。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopCallerCheck

如果设置此项,则调用方检查反 ROP (面向返回的编程) 在强制模式下缓解进程。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopCallerCheck

如果设置此项,调用方检查反 ROP (面向返回的编程) 流程的审核模式缓解。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.EnableRopSimExec

如果设置此项,则为该过程启用模拟执行反 ROP (面向返回的编程) 强制模式下的缓解。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.AuditRopSimExec

如果设置此项,则会在审核模式下启用模拟执行反 ROP (面向返回的编程) 缓解。 仅适用于 32 位进程。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

保留。

要求

要求
最低受支持的客户端 Windows 10 版本 1709
最低受支持的服务器 Windows Server 2016
标头 ntddk.h