• Windows内核函数的命名


    Windows内核函数的命名

     

    《Windows内核情景分析--采用开源代码ReactOS(上、下册)》本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。本小节为大家介绍Windows内核函数的命名。

    AD:

    1.5  Windows内核函数的命名

    Windows的内核函数在命名上有个很好的特色,就是函数名都按其所在的层次或模块加上了特定的前缀。了解了这些前缀,看到一个函数名就可以大致知道这个函数所属的层次和模块,主要的前缀有:

    Ex:管理层,Ex是Executive的开头两个字母。

    Ke:核心层,Ke是Kernel的开头两个字母。

    Hal:硬件抽象层,Hal是Hardware Abstraction Layer的缩写。

    Ob:对象管理,Ob是Object的开头两个字母。

    Mm:内存管理,Mm是Memory Manager的缩写。

    Ps:进程(线程)管理,Ps表示Process。

    Se:安全管理,Se是Security的开头两个字母。

    Io:I/O管理。

    Fs:文件系统,Fs是File System的缩写。

    Cc:文件缓存管理,Cc表示Cache。

    Cm:系统配置管理,Cm是Configuration Manager的缩写。

    Pp:"即插即用"管理,Pp表示PnP。

    Rtl:运行时程序库,Rtl是Runtime Library的缩写。

    不过并非所有的函数名都带有这样的前缀,对前缀的使用也并非十分严格。例如,核心层函数名的前缀本应是Ke,但是实际上有不少核心层函数名的前缀是Ki,这些函数大都是与中断有关的比较底层的函数。

    有时候还在函数名的前缀后面加上小写字母f,表示这个函数是快速调用函数。例如:

    NTKERNELAPI LONG_PTR FASTCALL ObfDereferenceObject(IN PVOID  Object);

    这里的类型说明FASTCALL向编译工具表明这是个快速调用函数,函数名前缀后面加上f则使人一看见函数名就知道这是个快速调用函数。一般的函数调用是通过堆栈传递参数的,而快速调用函数则通过ECX等寄存器传递参数,因为避免了几个堆栈操作而使效率有所提高。当然,这里的说明FASTCALL是必需的,否则编译工具不知道应该通过寄存器传递参数,而在函数名中加上f则只是为了增加程序的可读性。

    上面所说的是C语言程序中的函数名,如果是在汇编语言中,则需要在函数名前面再加上前缀"_",并加上表示参数个数的后缀。例如,函数名RtlZeroMemory()出现在汇编程序中就是_RtlZero Memory@8。为什么是@8呢?这是因为这个函数有两个参数,一共是8个字节。之所以如此,是因为GCC在编译C语言程序而生成汇编代码时就会作这样的转换。

    如果是快速调用函数,则又与普通的函数名有所不同。例如KfLowerIrql()是个快速调用函数,这个函数名出现在汇编程序中时则变成@KfLowerIrql@4。这里的前缀@表示这是快速调用函数,后缀的@4则表示这个函数带有4个字节的参数,即一个参数。当然,这是通过寄存器(因为只有一个参数,所以是ECX)传递的参数,而不是通过堆栈传递的参数。

    按理说,KfLowerIrql()是核心层的函数,又是快速调用,因而其函数名的前缀应该是Kef,但是实际用的却是Kf,所以这些前缀的使用并不严格。读者也许怀疑,是否ReactOS的人不守规矩?其实不然,因为在别的资料中也看到过这个函数名。

  • 相关阅读:
    leetcode算法题基础(五)双指针(一)27 题 移除元素
    kata-shim: Setctty set but Ctty not valid in child: unknown.
    kata-runtime mount
    UVa1636 Headshot
    HDU1150 Machine Schedule
    POJ 1273 Drainage Ditches
    SPOJ GSS1 Can you answer these queries I
    POJ 1840 Eqs
    POJ2001 Shortest Prefixes
    HDU 2795 Billboard
  • 原文地址:https://www.cnblogs.com/winkyao/p/2283584.html
Copyright © 2020-2023  润新知