踽踽独行 | IT tech,review and news – mopyman » windows内核函数命名规则(system routine naming convention)

Home > Windows > windows内核函数命名规则(system routine naming convention)

windows内核函数命名规则(system routine naming convention)

August 24th, 2009 mopyman Leave a comment Go to comments

windows内核函数命名的一般格式为：

Prefix指示导出该例程的组件，Operation指出对对象或资源做什么样的动作，Object标示操作的对象或资源。比如ExAllocatePoolWithTag是一个执行体(Executive)例程,用来从分页池(paged pool)或非分页池(nonpaged pool)中分配内存。KeInitializeThread是一个分配并且设置内核线程对象(kernel thread object)的内核例程。

下面的表列出了常用的前缀和组件的对应关系。

Prefix	Component
Alpc	Advanced Local Inter-Process Communication
Cc	Common Cache
Cm	Configuration Manager
Dbgk	Debugging Framework for User-Mode
Em	Errata Manager
Etw	Event Tracing for Windows
Ex	Executive support routines
FsRtl	File System Driver Run-Time Library
Hal	Hardware abstraction layer
Hvl	Hypervisor Library
Io	I/O manager
Ke	Kernel
Kd	Kernel Debugger
Ks	Kernel Streaming
Lsa	Local Security Authority
Mm	Memory manager
Nt	NT system services(most of which are exported as Win32 functions) ,NT Native API
Ob	Object manager
Pf	Prefetcher
Po	Power manager
Pp	PnP manager
Ps	Process support
Rtl	Run-time library
Se	Security
Tm	Transaction manager
Vf	Verifier
Whea	Windows Hardware Error Architecture
Wmi	windows management instrumentation
Wdi	windows diagnostic infrastructure
Zw	The origin of the prefix "Zw" is unknown;it is rumored that this prefix was chosen due to its having no significance at all.Mirror entry point for system services (beginning with Nt) that sets previous access mode to kernel,which eliminates parameter validation, since Nt system services validate parameters only if previous access mode is user mode
Lpc	Local Procedure Call
Ldr	Loader
Nls	National language support
Dbg	Debug
Tdi	Transport driver interface
Csr	Client Server Runtime,represents the interface to the win32 subsystem located in csrss.exe
Inbv	Initialize boot video

每一个系统组件还有一个变体前缀来指示内部使用(unexported)的函数，或者是组件前缀的第一个字母后面跟上i(指internal)，或者是全部的前缀跟上字母p(指private)。比如Ki指示一个Kernel内部函数，Psp指示一个Process support内部函数。

有些内核函数还在前缀或简化的前缀后面加上小写字母f，来指示这个函数使用fastcall调用约定,比如ObfDereferenceObject。KfRaiseIrql、KfLowerIrql、KfAcquireSpinLock、KfReleaseSpinLock等亦属此类。

经常会有人问Zw到底是什么单词的缩写(abbreviation),而且有种种的猜测在流传。实际上到现在也没有一个权威的说法，姑且认为选择这样一个古怪的前缀很难与其他组件发生冲突吧。

如果你知道这里没有列出的前缀或者有错误的地方，欢迎留言指出。

Categories: Windows Tags:

Comments (0) Trackbacks (0) Leave a comment Trackback

No comments yet.

No trackbacks yet.

延迟中断请求级(lazy IRQL) gitweb配置(configuration)

@mopyman

RT @EnochLu: RT @yimaobuba: 今天中午和一知名女白领（按收入该算金领）吃饭，她突然大发感慨说原来她和老公还都觉得共产党维持社会稳定经济发展挺好的，但这两年觉得社会黑暗环境恶劣实在没法呆了。这已经是我一个月来第三次听高收入阶层这样抱怨乐。。。 9 hrs ago
想好好学学Perl 10 hrs ago
有什么样的人民就有什么样的政府. 11 hrs ago
10分钟显然不够给力 RT: @heejunjin: 10分钟你就不寂寞了？那还没充满，怎么办？RT @corpse7: 我的電源插頭很寂寞，讓我擦入幫你充電10幾分鍾吧RT @heejunjin: 续航不给力。。。怪姐姐要跟凹凸曼一样亮红灯哔哔叫了。。。 11 hrs ago
理由很充分 RT: @EnochLu: RT @lawlee: RT @yjc2020: RT @PKUbuzheteng: 《雷雨》被删原因初探： “鲁大海：那三个代表呢？周朴园：昨天晚车就回去了。鲁大海（如梦初醒）：这三个没有骨头的东西！他们就把矿上的工人们卖了！ 12 hrs ago
关注 RT: @EnochLu: 我开始关注这件事了。RT @aiww: 不会是政变吧。RT @Coze: 而且还到处是士兵 RT @aiww: 不是要拔毛吧。RT @yimaobuba: 今天北京为啥满街警察啊？ 12 hrs ago
李老师的想法是好的,她的很多观点还是很不错的 RT: @mozhixu: 都在骂李银河，我去看了哈，没啥了不得的啊，不就傻点，以及有点小太子党的自鸣得意之类嘛，至少李老师还是支持选举民主制的，建议北风等人将之归入党内改革派阵营，加以声援 13 hrs ago
她是个性学家而已,不必苛求RT: @jajia: 这话说得真哀怨啊。RT @mranti 如果说我这一生还恨过什么女人的话，就是她了。王小波当年真的是睡错人了。RT @Beichen: 【吐血推荐】李银河：薄熙来是一个真正理想主义的共产党人。 http://is.gd/f1WVh 13 hrs ago
咬烂人家乳头的是他吗? RT @WuyouLan: 李銀河說：“薄熙来是一个真正理想主义的共产党人”，“有一大批薄熙来这样的人在力挽狂澜”，“共产党用选举取得执政资格的启动信号已经由胡锦涛和温家宝发出了”。 http://is.gd/f1Tta 13 hrs ago
恐怖 RT: @dawaiwai: 一姐妹儿前几天大姨妈突袭，那时她正好出门儿在大街上，因为流量超级大，那血就喷了，顺着她大腿流下来，她当时穿的还是短裤，周围的人都当场吓傻了，全都以为她流产了。。。 13 hrs ago
还有骂obama的言论自由 RT: @Beichen: 中国人有抗议日本政府的自由。 13 hrs ago
tor解封了,GFW抽风吗? https://www.torproject.org/ #FuckGFW 14 hrs ago
我们早就中产了,每天消费2美元以上就算 RT: @wyane_yan: 奥巴马宣布将提出为中产阶级永久性减税计划(快来拯救我们吧！）http://is.gd/f1S9k 14 hrs ago
时代进步了... RT: @dawaiwai: 大学一姐妹儿结婚，嫁的是跟她一个单位的男同事，婚礼当天，她初中时的男朋友，高中时的男朋友，大学时的男朋友全去参加婚礼了，并且这帮人还全坐一桌儿了，心可都够大的。哈哈哈哈哈 14 hrs ago
...RT: @qhgy: 王晨光：湖南质监局早就掌握“问题茶油”真相，却声称“无权”告知公众，这不能不使人怀疑监管者和监管对象之间是否存在“合谋”。根据《食品安全法》，质监部门是对公众健康与安全负责，而不是向主管部门、上级机关负责http://sinaurl.cn/h4hS22 14 hrs ago
嗯,男女适宜温度不同 RT: @hushuqi: @mopyman 裸睡有点冷…… 14 hrs ago
25度多舒服啊,可以裸睡 RT: @hushuqi: 我的屋原来才25度……我说怎么把窗户门都关上再裹严实了还冷呢…… 15 hrs ago
继续搭车求FO RT: @L5d: RT @baoisme: 搭车 @wangguang_no: 搭车 - - @teenchen: 搭车 @hanunyi: 搭车求fo。RT @L5d: 请帮推：大家好，我是刘德军，从现在起，凡FO我的，都会自动回FO，以前FO我的... 16 hrs ago
最毒的咒语:下辈子你还要生在兲朝! 18 hrs ago
RT @EnochLu: 翟明磊：GDP是一种以阳具长度看性功能的经济性幻想。 18 hrs ago
More updates...

Posting tweet...

踽踽独行 | IT tech,review and news – mopyman

windows内核函数命名规则(system routine naming convention)

@mopyman

Categories

Links

Archives

Meta