20180626-27

R3收到开始监控的指令后，通过指定的受保护的进程名（此处为TdxW.exe）查找进程ID，并发送到R0端

R0收到受保护进程ID后，存储该PID为全局变量，并以此初始化各种监控及保护例程

初始化驱动后，R0进入阻塞态（DeviceIoControl 阻塞），等待驱动发回监控事件，并将收到的事件打印（无进一步操作）

驱动开始监控后，如果检测到特定事件（目前为线程注入），根据该事件构造事件节点，并加入到消息事件的队列中，并激活同步事件(KeSetEvent)

驱动收到R3接收事件的请求后，从消息队列中取出事件发回到R3，如果消息队列为空，则驱动的处理线程阻塞（WaitForSingleObject），等待 KeSetEvent的触发