首先是參數(shù)說明宏。參數(shù)說明宏一般都是空宏，最常見的是IN和OUT。其實(shí)定義很簡單，如下所示：
#define IN
#define OUT
        這樣一來，IN和OUT就被定義成了空。無論出現(xiàn)在代碼中的任何地方，對代碼都不會有什么實(shí)質(zhì)的影響。在WDK的代碼中，用來作為函數(shù)的說明。IN表示這個(gè)參數(shù)用于輸入；OUT表示這個(gè)參數(shù)用來返回結(jié)果。比如下面的例子：
NTSTATUS
  ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統(tǒng)的參數(shù)說明宏。在WDK中到處可見更復(fù)雜的參數(shù)說明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )

        其中的__in_bcount不但說明參數(shù)StatusBuffer是一個(gè)輸入?yún)?shù)，而且說明了StatusBuffer作為一個(gè)緩沖區(qū)，它的字節(jié)長度被另一個(gè)參數(shù)StatusBufferSize所指定。讀者再見到類似的說明宏，就以字面意思理解即可。

        然后是指定函數(shù)位置的預(yù)編譯指令。比如下面的例子：
NTSTATUS
ZwQueryInformationFile(
    IN HANDLE  FileHandle,
    OUT PIO_STATUS_BLOCK  IoStatusBlock,
    OUT PVOID  FileInformation,
    IN ULONG  Length,
    IN FILE_INFORMATION_CLASS  FileInformationClass
    );
        IN和OUT是比較傳統(tǒng)的參數(shù)說明宏。在WDK中到處可見更復(fù)雜的參數(shù)說明宏，比如下面的例子：
VOID
NdisProtStatus(
    IN NDIS_HANDLE                          ProtocolBindingContext,
    IN NDIS_STATUS                          GeneralStatus,
    __in_bcount(StatusBufferSize) IN PVOID  StatusBuffer,
    IN UINT                                 StatusBufferSize
    )
         其中的__in_bcount不但說明參數(shù)StatusBuffer是一個(gè)輸入?yún)?shù)，而且說明了StatusBuffer作為一個(gè)緩沖區(qū)，它的字節(jié)長度被另一個(gè)參數(shù)StatusBufferSize所指定。讀者再見到類似的說明宏，就以字面意思理解即可。

        然后是指定函數(shù)位置的預(yù)編譯指令。比如下面的例子：
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, NdisProtUnload)
#pragma alloc_text(PAGE, NdisProtOpen)
#pragma alloc_text(PAGE, NdisProtClose)
#pragma alloc_text

        這個(gè)宏僅僅用來指定某個(gè)函數(shù)的可執(zhí)行代碼在編譯出來后在sys文件中的位置。內(nèi)核模塊編譯出來之后是一個(gè)PE格式的sys文件，這個(gè)文件的代碼段（text段）中有不同的節(jié)（Section），不同的節(jié)被加載到內(nèi)存中之后處理情況不同。讀者需要關(guān)心的主要是3種節(jié)：INIT節(jié)的特點(diǎn)是在初始化完畢之后就被釋放。也就是說，就不再占用內(nèi)存空間了。PAGE節(jié)的特點(diǎn)是位于可以進(jìn)行分頁交換的內(nèi)存空間,這些空間在內(nèi)存緊張時(shí)可以被交換到硬盤上以節(jié)省內(nèi)存。如果未用上述的預(yù)編譯指令處理，則代碼默認(rèn)位于PAGELK節(jié)，加載后位于不可分頁交換的內(nèi)存空間中。

        函數(shù)DriverEntry顯然只需要在初始化階段執(zhí)行一次，因此這個(gè)函數(shù)一般都用#pragma alloc_text(INIT, DriverEntry)使之位于初始化后立刻釋放的空間內(nèi)。為了節(jié)約內(nèi)存，可以把很多函數(shù)放在PAGE節(jié)中。但是要注意：放在PAGE節(jié)中的函數(shù)不可以在Dispatch級調(diào)用，因?yàn)檫@種函數(shù)的調(diào)用可能誘發(fā)缺頁中斷。但是缺頁中斷處理不能在Dispatch級完成。為此，一般都用一個(gè)宏P(guān)AGED_CODE()進(jìn)行測試。如果發(fā)現(xiàn)當(dāng)前中斷級為Dispatch級，則程序直接報(bào)異常，讓程序員及早發(fā)現(xiàn)。示例如下：
#pragma alloc_text(PAGE, SfAttachToMountedDevice)
……
NTSTATUS
SfAttachToMountedDevice (
    IN PDEVICE_OBJECT DeviceObject,
    IN PDEVICE_OBJECT SFilterDeviceObject
    )
{       
    PSFILTER_DEVICE_EXTENSION newDevExt =
   SFilterDeviceObject->DeviceExtension;
    NTSTATUS status;
    ULONG i;

    PAGED_CODE();
 …

本文摘自《寒江獨(dú)釣：Windows內(nèi)核安全編程》