驱动代码与平时的Win32代码有一些区别,在学习内核编程之前,简单了解一下,以后阅读代码会轻松一些。
首先是参数说明宏,一般都是空宏,例如
#define IN
#define OUT
这样来看,IN和OUT都被定义成了空,注意,这儿的空即什么也没有,不同于NULL或者VOID。只要不与变量等连在一起,他们出现在代码的任何地方都没有关系 。
只是函数的一个说明,提高程序的可读性,
NTSTATUS ZwQueryInformationFile( _In_ HANDLE FileHandle, _Out_ PIO_STATUS_BLOCK IoStatusBlock, _Out_ PVOID FileInformation, _In_ ULONG Length, _In_ FILE_INFORMATION_CLASS FileInformationClass );
还有一些较为复杂的, _in_bcount(StatusBufferSize) IN PVOID StatusBuffer, StatusBuffer不但是一个参数,而且它的长度被StatusBufferSize所指定。
还有就是指定函数位置的预编译指令
#pragma alloc_text(INIT,DriverEntry)
#pragma alloc_text(PAGE,NdisProtOpen)
这个宏指明某个函数的可执行代码在编译出来后出现在sys文件中的位置,sys是PE文件的一种,代码段被分成不同的节,其中比较重要的有三种:
INIT 特点是初始化之后就被释放,不再占用空间。
PAGE 特点是位于可以进行分页交换的内存空间,在内存紧张时可以交换到硬盘上节省空间。
PAGELK 如果没有使用上述预编译指令,默认位于这个地方。
该编译指示仅能用于有C连接形式的函数,它不能用于类成员函数或 C++源文件中未用extern "C"声明的函数。
顺便说一下位置
#include <ntifs.h>
#pragma alloc_text(INIT, DriverEntry)
我第一次这样放置,结果提示:error C2157: “DriverEntry”: 必须在用于杂注列表之前声明
上网查找资料,原来这个宏定义的位置必须在函数声明之下,注意,不是定义,于是建立头文件,给两个函数写了声明,终于编译通过了。
#include <ntifs.h>
VOID DriverUnload(PDRIVER_OBJECT DriverObject);
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath);
#pragma alloc_text(INIT, DriverEntry)
有一个很重要的问题,就是放在PAGE节中的函数不能在Dispatch级调用,因为有可能引发缺页中断,缺页中断处理不能在这儿完成。