首先是參數說明宏。參數說明宏一般都是空宏，最常見的是IN和OUT。其實定義很簡單，如下所示：
#define IN
#define OUT
        這樣一來，IN和OUT就被定義成了空。無論出現在代碼中的任何地方，對代碼都不會有什么實質的影響。在WDK的代碼中，用來作為函數的說明。IN表示這個參數用于輸入；OUT表示這個參數用來返回結果。比如下面的例子：
NTSTATUS
  ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統的參數說明宏。在WDK中到處可見更復雜的參數說明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )

        其中的__in_bcount不但說明參數StatusBuffer是一個輸入參數，而且說明了StatusBuffer作為一個緩沖區，它的字節長度被另一個參數StatusBufferSize所指定。讀者再見到類似的說明宏，就以字面意思理解即可。

        然后是指定函數位置的預編譯指令。比如下面的例子：
NTSTATUS
ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統的參數說明宏。在WDK中到處可見更復雜的參數說明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )
         其中的__in_bcount不但說明參數StatusBuffer是一個輸入參數，而且說明了StatusBuffer作為一個緩沖區，它的字節長度被另一個參數StatusBufferSize所指定。讀者再見到類似的說明宏，就以字面意思理解即可。

        然后是指定函數位置的預編譯指令。比如下面的例子：
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, NdisProtUnload)
#pragma alloc_text(PAGE, NdisProtOpen)
#pragma alloc_text(PAGE, NdisProtClose)
#pragma alloc_text

        這個宏僅僅用來指定某個函數的可執行代碼在編譯出來后在sys文件中的位置。內核模塊編譯出來之后是一個PE格式的sys文件，這個文件的代碼段（text段）中有不同的節（Section），不同的節被加載到內存中之后處理情況不同。讀者需要關心的主要是3種節：INIT節的特點是在初始化完畢之后就被釋放。也就是說，就不再占用內存空間了。PAGE節的特點是位于可以進行分頁交換的內存空間,這些空間在內存緊張時可以被交換到硬盤上以節省內存。如果未用上述的預編譯指令處理，則代碼默認位于PAGELK節，加載后位于不可分頁交換的內存空間中。

        函數DriverEntry顯然只需要在初始化階段執行一次，因此這個函數一般都用#pragma alloc_text(INIT, DriverEntry)使之位于初始化后立刻釋放的空間內。為了節約內存，可以把很多函數放在PAGE節中。但是要注意：放在PAGE節中的函數不可以在Dispatch級調用，因為這種函數的調用可能誘發缺頁中斷。但是缺頁中斷處理不能在Dispatch級完成。為此，一般都用一個宏PAGED_CODE()進行測試。如果發現當前中斷級為Dispatch級，則程序直接報異常，讓程序員及早發現。示例如下：
#pragma alloc_text(PAGE, SfAttachToMountedDevice)
……
NTSTATUS
SfAttachToMountedDevice (
    IN PDEVICE_OBJECT DeviceObject,
    IN PDEVICE_OBJECT SFilterDeviceObject
    )
{       
    PSFILTER_DEVICE_EXTENSION newDevExt =
   SFilterDeviceObject->DeviceExtension;
    NTSTATUS status;
    ULONG i;

    PAGED_CODE();
 …

本文摘自《寒江獨釣：Windows內核安全編程》