原文
如果在内核模式下花时间,会习惯性看到带有两个字母(或偶尔三个字母)前缀的函数,这些前缀指示它们属于哪个组件.
前缀 | 组件 | 示例 |
|---|---|---|
Ex | 可执行 | ExAllocatePool |
Hal | 硬件抽象层 | HalGetBusData |
Io | I/O管理器 | IoAllocateIrp |
Ke | 内核 | KeBugCheck |
Ks | 内核串流 | KsAcquireControl |
Mm | 内存管理器 | MmGetPhysicalAddress |
Ob | 对象管理器 | ObReferenceObjectByHandle |
Po | 电源管理 | PoSetSystemState |
Se | 安全 | SeAccessCheck |
Tdi | 传输驱动接口 | TdiProviderReady |
Zw | ?? | ZwCancelTimer |
"Zw"是什么意思?
答:没啥意思.
选择前缀,只是发现前面有人已声称它了.