内核函数前缀总结

最新推荐文章于 2022-11-13 20:25:12 发布
最新推荐文章于 2022-11-13 20:25:12 发布
阅读量446 收藏 5
点赞数 1
分类专栏: Windows开发 文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42814021/article/details/120996483
版权

内核函数前缀

Windows内核会调用一些内核层的函数,这些函数都以固定的前缀开始,分别属于内核中不同的管理模块。
通过这些前缀,根据函数名就可以大致知道这个函数所属的层次和模块了。

  • Ex:管理层(Executive)
  • Ke:核心层(Kernel)
  • Hal:硬件抽象层(Hardware Abstraction Layer)
  • Ob:对象管理(Object)
  • Mm:内存管理(Memory Manager)
  • Ps:进程管理(Process)
  • Se:安全管理(Security)
  • Io:I/O管理
  • Fs:文件系统(File System)
  • Cc:文件缓存管理(Cache)
  • Cm:系统配置管理(Configuration Manager)
  • Pp:即插即用管理(PnP)
  • Rtl:运行时程序库(Runtime Library)
  • Zw/Nt:对应于SSDT表中的服务函数,例如与文件或注册表相关的操作函数
  • Flt:Minifilter文件过滤驱动中调用的函数
  • Ndis:Ndis网络框架中调用的函数

与应用层函数不同,调用内核函数的时候需要注意它的IRQL(Interrupt Request Level,中断请求级别)要求。
内核在不同的情况下会运行在不同的IRQL级别上,因此在不同的IRQL级别上,必须调用符合该IRQL级别要求的内核函数。

PASSIVE_LEVEL:IRQL的最低级别,没有被屏蔽的中断,对所有中断都作出响应;可以访问分页内存。
在这个级别上,线程执行用户模式,用户模式代码都是运行在该中断级别上的。

APC_LEVEL:只有APC级别的中断被屏蔽,可以访问分页内存。当有APC发生时,将处理器提升到APC级别,就能屏蔽其他APC了。分页调度管理就运行在该级别上。

DISPATCH_LEVEL:DPC和更低的中断被屏蔽,不能访问分页内存,所有被访问的内存不能分页。因为只能处理不可分页的内存,所以在这个级别上能够访问的API大大减少。线程调度和DPC例程运行在该级别上。

DIRQL:处于高层的驱动程序通常不会使用该IRQL级别,在该级别上所有的中断都会被忽略,这是IRQL的最高级别,通常使用它来判断设备的优先级。

哎呀呀呀浅汐
关注
专栏目录
Windows核函数的命名解析
10-12
开始学习windows内核时往往会被这些莫名其妙的名称弄晕,这是一个介绍内核命名的书,很短,半个小时就能看完,看完之后再去看内核函数就有头绪了。值得一看!
windows核函数前缀表示函数所属层次和模块
若面朝大海边竹妮春暖花开的博客
03-27 369
Ex:管理层,Ex是Executive的开头两个字母 Ke:核心层,Ke是Kernel的开头两个字母 Hal:硬件抽象层,Hal是Hardware Abstraction Layer的缩写 Ob:对象管理,Ob是Object的开头两个字母 Mm:内存管理,Mm是Memory Manager的缩写 Ps:进程(线程)管理,Ps表示Process Se:安全管理,Se是Security的开头两个字母 ...
驱动基础----内核字符串常用函数和常用的内核内存函数
weixin_41725706的博客
11-13 629
驱动编程内核字符串函数等
第七章——Windows内核基础-内核理论基础(0环通信,内核函数,驱动加载流程)...
weixin_30338481的博客
12-26 309
windowsR3与R0通信 当我们调用某个API的时候,这个API是被封装在某个DLL库中,而DLL库中的函数则是在更底层的ntdll.dll文件中,而相对应的则是调用ntdll中的Native API函数ntdll中的Native API函数是成对出现,分别以Nt和Zw开头,在ntdll中他们的本质是一样,只是名字不同。当API函数在ntdll中执行时,首先会检查参数工作,接...
中断请求、分页内存和非分页内存
jhy8421的专栏
03-04 2126
以下均为个人见解,如果有错,希望大家指正,谢谢。 最近在学习Windows驱动,没办法,逃避不了对windows内存管理的学习,我向来对此比较感冒,看了好多回始终不得要领,抛砖引玉,希望仁者见仁、智者见智。 1、在直接讲述分页与非分页内存的相关知识前,还需要先了解点中断的知识。 IRQL(中断请求级别):PASSIVE_LEVEL、APC_LEVEL、DISPATCH_LEVEL、DIRQL
核函数前缀Windows内核和驱动开发培训
07-23
本文将深入探讨内核函数前缀以及Windows内核和驱动开发的相关知识点。 首先,内核函数前缀是识别内核级代码的一个关键特征。在Windows内核中,函数通常会带有特定的前缀,以表明其功能和执行上下文。例如,“Ke”...
内核debugfs使用简介
01-20
- `debugfs_create_x8`、`debugfs_create_x16`、`debugfs_create_x32`、`debugfs_create_x64`:与上述函数类似,但使用`x`前缀表示数据以十六进制格式显示。 - `debugfs_create_size_t`:用于创建表示`size_t`类型...
opnet 核心函数中文版
04-13
1. **前缀**:所有核心函数的名字都以`op_`开头,表明它们属于OPNET仿真内核。 2. **函数集名**:名字的第二部分通常是小写字母表示的函数集名,反映了该函数处理的对象类别,例如`pk`代表Packet(包)、`ici`代表...
Windows内核驱动API大全.pdf
04-10
例如,文件中出现的`BgkDisplayCharacter`、`BgkGetConsoleState`和`BgkGetCursorState`等函数前缀为`Bgk`,这在标准Windows API文档中并不常见,可能是特定于某公司或机构开发的API或者是扫描错误。类似的,某些...
核函数前缀简单介绍
qiaoli的知识备忘录
06-19 793
1.KiEtw系列:本系列内核函数用于系统内核,这些函数只能从内核的内部进行调用,常用的有:KiUserCallbackDispatcher、KiRaiseUserExceptionDispatcher、KiUserApcDispatcher、KiUserExceptionDispatcher等。 2.Csr系列:此系列函数用于客户机和服务器运行时,如果您想拦截客户机/服务器方面的操作,
Windows核函数前缀
Sagittarius_Warrior的博客
03-31 2604
Winodws操作系统采用的是“client-server”设计模式,在用户层和内核层提供不同的系统函数,供程序员使用。其结构如下:          如上图,Win32子系统将Win32 API转为Native API,故以Nt前缀开头的都是Native API,它还是属于用户层。通过Native API,建立与内核层的联系。         在C盘的Windows
Windows核函数的命名
郑智仁的备忘录
07-27 1640
Windows的内核函数在命名上有个很好的特色,就是函数名都按其所在的层次或模块加上了特定的前缀。了解了这些前缀,看到一个函数名就可以大致知道这个函数所属的层次和模块,主要的前缀有:Ex:管理层,Ex是Executive的开头两个字母。Ke:核心层,Ke是Kernel的开头两个字母。Hal:硬件抽象层,Hal是Hardware Abstraction Layer的缩写。Ob:对象管理,Ob是Object的开头两个字母。Mm:内存管理,Mm是Memory Manager的缩写。Ps:进程(线程)管理,Ps表示
为什么有的内核函数前面会有“_ _”双下划线
qq_45763093的博客
01-16 1725
为什么有的内核函数前面会有“_ ”双下划线 在我们阅读内核代码时,经常会看到有的函数名称前面会带有“ _”的双下划线,而有些又没有,这个有什么用呢? 原来内核API函数具有这种名称的,通常都是一些接口的底层函数,应该谨慎使用。实质上,这里的双下划线就是要告诉程序员:谨慎调用,后则后果自负。举个例子,在内核模块的初始函数时,实际的定义如下:   static int _ _init ini...
函数的命名
weixin_53562163的博客
06-23 796
函数就是行为(action)。所以它们的名字通常是动词。它应该简短且尽可能准确地描述函数的作用。这样读代码的人就能清楚地知道这个函数的功能。一种普遍的做法是用动词前缀来开始一个函数,这个前缀模糊地描述了这个行为。团队内部必须就前缀的含义达成一致。例如,以 开头的函数通常会显示某些内容。函数以 XX 开始…… 总结:函数声明方式如下所示: 作为参数传递给函数的值,会被复制到函数的局部变量。 函数可以访问外部变量。但它只能从内到外起作用。函数外部的代码看不到函数内的局部变量。 函数可以返回值。
函数 注释规范_函数的几种命名法及一些命名规范
weixin_30230059的博客
01-08 5483
驼峰命名法骆驼式命名法(Camel-Case)又称驼峰式命名法,也称小驼峰式命名法。骆驼式命名法就是当变量名或函数名是由一个或多个单词连结在一起,而构成的唯一识别字时,第一个单词以小写字母开始;从第二个单词开始以后的每个单词的首字母都采用大写字母,例如:myFirstName、myLastName,这样的变量名看上去就像骆驼峰一样此起彼伏,故得名。骆驼式命名法在许多新的函数库和Microsoft ...
IRQL APC_LEVEL and APC
求索
05-16 852
这篇文章主要说明俩个问题: 1. 在APC_LEVEL上,Thread为何不能被suspend。 2. 在 APC_LEVEL上,可以使用分页内存的原因。 关于线程如何响应APC,要看是何种APC,请参考MSDN文档。我在看微软提供的资料的时候,发现俩个比较难懂的问题,把它们单独拿出来讨论。 首先看中断请求级:IRQL(Interrupt Request Levels)
KMP(1)-前缀函数(Prefix function)KMP的next函数
寻梦道理的专栏
08-23 2020
前言:   前段时间学习和字符串相关的算法,自然学到了KMP算法(解决单字符串匹配问题)。这里简单记录一下,方便以后回忆。  先给出二个名词,模式串(P), 文本串(T)。 比如ABC是否是ASDABC的子串,这里ABC是模式串(P),ASDABC是文本串,也叫被匹配串。引入:  KMP算法其实就是两个部分,①:前缀函数(求前缀数组)②:匹配部分。   那么什么是前缀函数呢??这是本篇文章的内容,...
关于一些函数求前缀和的问题
Coldfresh的博客
07-24 446
1.设f(n)f(n)f(n)为n的因子的和,求: ∑i=1nf(i)∑i=1nf(i)\sum_{i=1}^nf(i) 其中n<1012n<1012nans=∑in∑jn[j|i]∗j=∑jnj∑in[j|i]=∑j=1n⌊nj⌋ans=∑in∑jn[j|i]∗j=∑jnj∑in[j|i]=∑j=1n⌊nj⌋ans=\sum_i^n\sum_j^n[j|i]*j\\=\sum_j...
linux内核读写寄存器函数
最新发布
06-05
Linux内核提供了一系列函数来读写I/O端口,这些函数通常以in_和out_作为前缀,例如inb()、inl()、outb()、outl()等。以inb()为例,它的函数原型如下: unsigned char inb(unsigned short int port); 其中,port...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值