郑智仁的备忘录

In Microsoft Windows Server 2003 and earlier versions of Windows, the DbgPrint and KdPrint routines send messages to the kernel debugger unconditionally. In Windows Vista and later versions of Windows, these routines send messages conditionally, like

Windows的内核函数在命名上有个很好的特色，就是函数名都按其所在的层次或模块加上了特定的前缀。了解了这些前缀，看到一个函数名就可以大致知道这个函数所属的层次和模块，主要的前缀有：Ex：管理层，Ex是Executive的开头两个字母。Ke：核心层，Ke是Kernel的开头两个字母。Hal：硬件抽象层，Hal是Hardware Abstraction Layer的缩写。Ob：对象管理，Ob是Object的开头两个字母。Mm：内存管理，Mm是Memory Manager的缩写。Ps：进程（线程）管理，Ps表示

在Windows驱动程序的编写中，当我们调用一个返回NTSTATUS值的函数时（比如IoCreateDevice），应当检查返回值是否成功。有人经常这样写ntStatus = function(...);if(STATUS_SUCCESS == ntStatus) ...但是，这并不总是合理的。在ddk头文件”ntdef.h“中，NTSTATUS是这样定义的：typedef __success(return >= 0) LONG NTSTATUS;//// Status values