Windows内核函数的命名

最新推荐文章于 2022-02-21 18:11:02 发布
最新推荐文章于 2022-02-21 18:11:02 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Windows驱动 文章标签: windows manager 配置管理 security library object

Windows的内核函数在命名上有个很好的特色,就是函数名都按其所在的层次或模块加上了特定的前缀。了解了这些前缀,看到一个函数名就可以大致知道这个函数所属的层次和模块,主要的前缀有:

Ex:管理层,Ex是Executive的开头两个字母。

Ke:核心层,Ke是Kernel的开头两个字母。

Hal:硬件抽象层,Hal是Hardware Abstraction Layer的缩写。

Ob:对象管理,Ob是Object的开头两个字母。

Mm:内存管理,Mm是Memory Manager的缩写。

Ps:进程(线程)管理,Ps表示Process。

Se:安全管理,Se是Security的开头两个字母。

Io:I/O管理。

Fs:文件系统,Fs是File System的缩写。

Cc:文件缓存管理,Cc表示Cache。

Cm:系统配置管理,Cm是Configuration Manager的缩写。

Pp:“即插即用”管理,Pp表示PnP。

Rtl:运行时程序库,Rtl是Runtime Library的缩写。

 

http://book.csdn.net/bookfiles/1044/100104431305.shtml

ZhengZhiRen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows核函数命名解析
10-12
开始学习windows内核时往往会被这些莫其妙的称弄晕,这是一个介绍内核命名的书,很短,半个小时就能看完,看完之后再去看内核函数就有头绪了。值得一看!
PsLookupProcessByProcessId分析
weixin_30892037的博客
03-13 1428
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpenServer这个第三方库的函数,Ring0就是进程活动链表,系统句柄表中枚举。然后就是Ps...
PsLookupProcessByProcessId的执行流程
yaneng的专栏
06-18 2750
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 2742
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程的遍历。现在,我就来讲解具体的实现
pslookupprocessbyprocessid
Sunny_wwc的专栏
10-12 5795
PsLookupProcessByProcessId执行流程学习笔记本帖被 xIkUg 执行取消置顶操作(2008-01-14) 本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]NtOpenProcess->PsLookupProcessByProcessId->ExMapHandleToPointer->ExpL
精通Windows.API-函数、接口、编程实例.pdf
01-27
5.6.1 标准C内存管理函数Windows内存管理API的关系 149 5.6.2 功能性区别 149 5.6.3 效率的区别 149 第6章 进程、线程和模块 150 6.1 基本概念 150 6.1.1 应用程序与进程 150 6.1.2 控制台应用程序与...
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
1.5 Windows核函数命名 10 第2章 系统调用 12 2.1 内核与系统调用 12 2.2 系统调用的内核入口KiSystemService() 22 2.3 系统调用的函数跳转 29 2.4 系统调用的返回 32 2.5 快速系统调用 35 2.6 从内核中...
精通WindowsAPI 函数 接口 编程实例
01-08
5.6.1 标准C内存管理函数Windows内存管理API的关系 149 5.6.2 功能性区别 149 5.6.3 效率的区别 149 第6章 进程、线程和模块 150 6.1 基本概念 150 6.1.1 应用程序与进程 150 6.1.2 控制台应用程序...
windows内核态导出未文档化函数源码
01-12
在内核态中使用那些没有被导出的函数,例如ntdll中的ZwShutdownSystem等等,已经封装成函数CallZwFunction,使用例子也写在文件中,在内核态里可以直接调用
Window API函数
04-11
一些常用的API函数字 没有函数的内容 只是进行了分类
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
64位内联钩 内联挂钩PsLookupProcessByProcessId。 谢谢你
核函数前缀总结
qq_42814021的博客
10-27 364
核函数前缀 Windows内核会调用一些内核层的函数,这些函数都以固定的前缀开始,分别属于内核中不同的管理模块。 通过这些前缀,根据函数就可以大致知道这个函数所属的层次和模块了。 Ex:管理层(Executive) Ke:核心层(Kernel) Hal:硬件抽象层(Hardware Abstraction Layer) Ob:对象管理(Object) Mm:内存管理(Memory Manager) Ps:进程管理(Process) Se:安全管理(Security) Io:I/O管理 Fs:文件系统(
遍历PspCidTable表检测隐藏进程
08-11 333
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
Window函数
Ahxing1985的专栏
02-21 1417
大数据分析中的窗口函数Window function),在主流的数据库中都已经或多或少支持了。
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4272
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
详解windows api中的createmutex函数
最新发布
06-06
CreateMutex函数Windows API中用于创建互斥对象的函数,其函数原型如下: ```c++ HANDLE CreateMutex( LPSECURITY_ATTRIBUTES lpMutexAttributes, BOOL bInitialOwner, LPCTSTR lpName ); ``` 该函数的参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值