Windows内核函数

Windows 内核函数

Windows 内核部分会调用一些内核层的函数。这些函数都以固定的开始前缀，分别属于内核中不同的管理模块。通过函数名就可以大致知道这个函数所属的层次和模块。这些主要的前缀如下：

* Ex：管理层。“Ex”是“Executive”的开头两个字母。
* Ke：核心层。“Ke”是“Kernel”的开头两个字母。
* HAL：硬件抽象层。“HAL”是“Hardware Abstraction Layer”的缩写。
* Ob：对象管理。“Ob”是“Object”的开头两个字母。
* MM：内存管理。“MM”是“Memory Manager”的缩写。
* Ps：进程（线程）管理。“Ps”表示“Process”。
* Se：安全管理。“Se”是“Security”的开头两个字母。
* Io：I/O管理。
* Fs：文件系统。“Fs”是“File System”的缩写。
* Cc：文件缓存管理。“Cc”表示“Cache”。
* Cm：系统配置管理。“Cm”是“Configuration Manager”的缩写。
* Pp：即插即用管理。“Pp”表示“Pnp”。
* Rtl：运行时程序库。“Rtl”是“Runtime Library”的缩写。
* Zw/Nt：对应于SSDT中的服务函数，例如与文件或者注册表相关的操作函数。
* Flt：Minifilter文件过滤驱动中调用的函数。
* Ndis：Ndis网络框架中调用的函数。