首先是參數(shù)說(shuō)明宏。參數(shù)說(shuō)明宏一般都是空宏，最常見(jiàn)的是IN和OUT。其實(shí)定義很簡(jiǎn)單，如下所示：
#define IN
#define OUT
        這樣一來(lái)，IN和OUT就被定義成了空。無(wú)論出現(xiàn)在代碼中的任何地方，對(duì)代碼都不會(huì)有什么實(shí)質(zhì)的影響。在WDK的代碼中，用來(lái)作為函數(shù)的說(shuō)明。IN表示這個(gè)參數(shù)用于輸入；OUT表示這個(gè)參數(shù)用來(lái)返回結(jié)果。比如下面的例子：
NTSTATUS
  ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統(tǒng)的參數(shù)說(shuō)明宏。在WDK中到處可見(jiàn)更復(fù)雜的參數(shù)說(shuō)明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )

        其中的__in_bcount不但說(shuō)明參數(shù)StatusBuffer是一個(gè)輸入?yún)?shù)，而且說(shuō)明了StatusBuffer作為一個(gè)緩沖區(qū)，它的字節(jié)長(zhǎng)度被另一個(gè)參數(shù)StatusBufferSize所指定。讀者再見(jiàn)到類(lèi)似的說(shuō)明宏，就以字面意思理解即可。

        然后是指定函數(shù)位置的預(yù)編譯指令。比如下面的例子：
NTSTATUS
ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統(tǒng)的參數(shù)說(shuō)明宏。在WDK中到處可見(jiàn)更復(fù)雜的參數(shù)說(shuō)明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )
         其中的__in_bcount不但說(shuō)明參數(shù)StatusBuffer是一個(gè)輸入?yún)?shù)，而且說(shuō)明了StatusBuffer作為一個(gè)緩沖區(qū)，它的字節(jié)長(zhǎng)度被另一個(gè)參數(shù)StatusBufferSize所指定。讀者再見(jiàn)到類(lèi)似的說(shuō)明宏，就以字面意思理解即可。

        然后是指定函數(shù)位置的預(yù)編譯指令。比如下面的例子：
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, NdisProtUnload)
#pragma alloc_text(PAGE, NdisProtOpen)
#pragma alloc_text(PAGE, NdisProtClose)
#pragma alloc_text

        這個(gè)宏僅僅用來(lái)指定某個(gè)函數(shù)的可執(zhí)行代碼在編譯出來(lái)后在sys文件中的位置。內(nèi)核模塊編譯出來(lái)之后是一個(gè)PE格式的sys文件，這個(gè)文件的代碼段（text段）中有不同的節(jié)（Section），不同的節(jié)被加載到內(nèi)存中之后處理情況不同。讀者需要關(guān)心的主要是3種節(jié)：INIT節(jié)的特點(diǎn)是在初始化完畢之后就被釋放。也就是說(shuō)，就不再占用內(nèi)存空間了。PAGE節(jié)的特點(diǎn)是位于可以進(jìn)行分頁(yè)交換的內(nèi)存空間,這些空間在內(nèi)存緊張時(shí)可以被交換到硬盤(pán)上以節(jié)省內(nèi)存。如果未用上述的預(yù)編譯指令處理，則代碼默認(rèn)位于PAGELK節(jié)，加載后位于不可分頁(yè)交換的內(nèi)存空間中。

        函數(shù)DriverEntry顯然只需要在初始化階段執(zhí)行一次，因此這個(gè)函數(shù)一般都用#pragma alloc_text(INIT, DriverEntry)使之位于初始化后立刻釋放的空間內(nèi)。為了節(jié)約內(nèi)存，可以把很多函數(shù)放在PAGE節(jié)中。但是要注意：放在PAGE節(jié)中的函數(shù)不可以在Dispatch級(jí)調(diào)用，因?yàn)檫@種函數(shù)的調(diào)用可能誘發(fā)缺頁(yè)中斷。但是缺頁(yè)中斷處理不能在Dispatch級(jí)完成。為此，一般都用一個(gè)宏P(guān)AGED_CODE()進(jìn)行測(cè)試。如果發(fā)現(xiàn)當(dāng)前中斷級(jí)為Dispatch級(jí)，則程序直接報(bào)異常，讓程序員及早發(fā)現(xiàn)。示例如下：
#pragma alloc_text(PAGE, SfAttachToMountedDevice)
……
NTSTATUS
SfAttachToMountedDevice (
    IN PDEVICE_OBJECT DeviceObject,
    IN PDEVICE_OBJECT SFilterDeviceObject
    )
{       
    PSFILTER_DEVICE_EXTENSION newDevExt =
   SFilterDeviceObject->DeviceExtension;
    NTSTATUS status;
    ULONG i;

    PAGED_CODE();
 …

本文摘自《寒江獨(dú)釣：Windows內(nèi)核安全編程》