《Undocumented Windows 2000 Secrets》翻譯 --- 第四章（4）

第四章 探索 Windows 2000 的內存管理機制

翻譯： Kendiv ( fcczj@263.net )

更新： Sunday, February 17, 2005

聲明：轉載請注明出處，并保證文章的完整性，本人保留譯文的所有權利。

盡管 Spy 設備使用可緩沖的 I/O ，但它還是會檢查輸入 / 輸出緩沖區的有效性。因為客戶端程序傳入的數據可能比所需的少或者提供的緩沖區不夠容納輸出數據。系統不能捕獲這些語意錯誤，因為它不知道在一次 IOCTL 傳輸中所傳輸的數據的類型。因此， SpyDispatcher() 調用幫助函數 SpyInput*() 和 SpyOutput*() 來從 I/O 緩沖區中復制或寫入數據。這些函數僅在緩沖區大小與操作的需求相匹配時才執行。 列表 4-10 給出了基本的輸入函數， 列表 4-11 給出了基本的輸出函數。 SpyInputBinary() 和 SpyOutputBinary() 被廣泛的使用，它們測試緩沖區的大小，如果 OK ，則使用 Windows 2000 運行時庫函數 RtlCopyMemory() 復制被請求的數據。剩余的函數只是上述兩個基本函數的簡單外包，用來操作常見的數據類型 DWord ， BOOL ， PVOID 和 HANDLE 等。 SpyOutputBlock() 復制由調用者在 SPY_MEMORY_BLOCK 結構中指定的數據塊，當然這需要首先驗證請求范圍內的字節都是可讀的。如果傳入的輸入緩沖區的大小不正確， SpyInput*() 函數將返回 STATUS_INVALID_BUFFER_SIZE ，如果輸出緩沖區比需要的小， SpyOutput*() 函數將返回 STATUS_BUFFER_TOO_SMALL 。

NTSTATUS SpyInputBinary (PVOID pData,

DWORD dData,

PVOID pInput,

DWORD dInput)

{

NTSTATUS ns = STATUS_INVALID_BUFFER_SIZE;

if (dData <= dInput)

{

RtlCopyMemory (pData, pInput, dData);

ns = STATUS_SUCCESS;

}

return ns;

}

// -----------------------------------------------------------------

NTSTATUS SpyInputDword (PDWORD pdValue,

PVOID pInput,

DWORD dInput)

{

return SpyInputBinary (pdValue, DWORD_, pInput, dInput);

}

// -----------------------------------------------------------------

NTSTATUS SpyInputBool (PBOOL pfValue,

PVOID pInput,

DWORD dInput)

{

return SpyInputBinary (pfValue, BOOL_, pInput, dInput);

}

// -----------------------------------------------------------------

NTSTATUS SpyInputPointer (PPVOID ppAddress,

PVOID pInput,

DWORD dInput)

{

return SpyInputBinary (ppAddress, PVOID_, pInput, dInput);

}

// -----------------------------------------------------------------

NTSTATUS SpyInputHandle (PHANDLE phObject,

PVOID pInput,

DWORD dInput)

{

return SpyInputBinary (phObject, HANDLE_, pInput, dInput);

}

列表 4-10. 從 IOCTL 緩沖區中讀取輸入數據

NTSTATUS SpyOutputBinary (PVOID pData,

DWORD dData,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

NTSTATUS ns = STATUS_BUFFER_TOO_SMALL;

*pdInfo = 0;

if (dData <= dOutput)

{

RtlCopyMemory (pOutput, pData, *pdInfo = dData);

ns = STATUS_SUCCESS;

}

return ns;

}

// -----------------------------------------------------------------

NTSTATUS SpyOutputBlock (PSPY_MEMORY_BLOCK psmb,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

NTSTATUS ns = STATUS_INVALID_PARAMETER;

if (SpyMemoryTestBlock (psmb->pAddress, psmb->dBytes))

{

ns = SpyOutputBinary (psmb->pAddress, psmb->dBytes,

pOutput, dOutput, pdInfo);

}

return ns;

}

// -----------------------------------------------------------------

NTSTATUS SpyOutputDword (DWORD dValue,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

return SpyOutputBinary (&dValue, DWORD_,

pOutput, dOutput, pdInfo);

}

// -----------------------------------------------------------------

NTSTATUS SpyOutputBool (BOOL fValue,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

return SpyOutputBinary (&fValue, BOOL_,

pOutput, dOutput, pdInfo);

}

// -----------------------------------------------------------------

NTSTATUS SpyOutputPointer (PVOID pValue,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

return SpyOutputBinary (&pValue, PVOID_,

pOutput, dOutput, pdInfo);

}

列表 4-11. 向 IOCTL 的緩沖區中寫入數據

你可能注意到 列表 4-7 中的 SpyDispatcher() 還引用了其他的 SpyInput*() 和 SpyOutput*() 函數。盡管這些函數最終還是調用 SpyInputBinary() 和 SpyOutputBinary() ，但它們還是比 列表 4-10 和 4-11 中的基本函數要復雜些，因此，稍后我們在討論它們。現在，讓我們從 SpyDispatcher() 開始，一步步的分析它的 switch/case 語句。

IOCTL 函數 SPY_IO_VERSION_INFO

IOCTL 的 SPY_IO_VERSION_INFO 函數用有關 Spy 驅動自身的數據填充調用者提供的 SPY_VERSION_INFO 結構。該功能不需要輸入參數，需要使用 SpyOutputVersionInfo() 幫助函數。 列表 4-12 給出了該函數和 SPY_VERSION_INFO 結構，該函數很簡單，它將 dVersion 成員設置為 SPY_VERSION 常量（當前是 100 ，表示 V1.00 ），該常量定義于 w2k_spy.h 中。然后復制驅動程序的符號化名稱，即字符串常量 DRV_NAME （“ SBS Windows 2000 Spy Device ”）到 awName 成員。通過整除 dVersion 可獲取主版本號，剩下的是次版本號。

typedef struct _SPY_VERSION_INFO

{

DWORD dVersion;

WORD awName [SPY_NAME];

}

SPY_VERSION_INFO, *PSPY_VERSION_INFO, **PPSPY_VERSION_INFO;

#define SPY_VERSION_INFO_ sizeof (SPY_VERSION_INFO)

NTSTATUS SpyOutputVersionInfo (PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

SPY_VERSION_INFO svi;

svi.dVersion = SPY_VERSION;

wcscpyn (svi.awName, USTRING (CSTRING (DRV_NAME)), SPY_NAME);

return SpyOutputBinary (&svi, SPY_VERSION_INFO_,

pOutput, dOutput, pdInfo);

}

列表 4-12. 獲取 Spy 驅動程序的版本信息

IOCTL 函數 SPY_IO_OS_INFO

該函數比上一個有趣的多。它是另一個只有輸出的函數，不需要輸入參數，使用幾個操作系統的內部參數來填充調用者提供的 SPY_OS_INFO 結構。 列表 4-13 列出了該結構的定義，和 Dispatcher 調用的 SpyOutputOsInfo() 幫助函數。有些結構體成員只是被簡單的設為定義于 DDK 頭文件和 w2k_spy.h 中的常量；其他的將被設為從幾個內部的內核變量和結構體中讀取的當前值。在第二章中，你已經了解了變量 NtBuildNumber 和 NtGlobalFlag （由 ntoskrnl.exe 導出，參見 附錄 B 中的 表 B-1 ）。和其他的 Nt* 符號不同，這兩個符號不指向 API 函數，而是指向位于內核的 .data section 中的變量。在 Win32 世界里，導出變量是十分罕見的。不過， Windows 2000 的幾個內核模塊都使用了這一技術。 Ntoskrnl.exe 導出了至少 55 個變量， ntdll.dll 提供了 4 個， hal.dll 提供了 1 個。 SpyOutputOsInfo() 將從 ntoskrnl.exe 導出的變量中復制 MmHighestUserAddress 、 MmUserProbeAddress 、 MmSystemRangeStart 、 NtGlobalFlag 、 KeI386MachineType 、 KeNumberProcessors 和 NtBuildNumber 到輸出緩沖區中。

當一個模塊從另一個模塊中導入數據時，它需要使用 extern 關鍵字來通知編譯器和鏈接器。這會使鏈接器生成一個進入模塊導出節的入口，并會解析符號名以確定其地址。有些 extern 聲明已經包含在 ntddk.h 。 列表 4-13 給出了缺失的那些 extern 聲明。

extern PWORD NlsAnsiCodePage;

extern PWORD NlsOemCodePage;

extern PWORD NtBuildNumber;

extern PDWORD NtGlobalFlag;

extern PDWORD KeI386MachineType;

typedef struct _SPY_OS_INFO

{

DWORD dPageSize;

DWORD dPageShift;

DWORD dPtiShift;

DWORD dPdiShift;

DWORD dPageMask;

DWORD dPtiMask;

DWORD dPdiMask;

PX86_PE PteArray;

PX86_PE PdeArray;

PVOID pLowestUserAddress;

PVOID pThreadEnvironmentBlock;

PVOID pHighestUserAddress;

PVOID pUserProbeAddress;

PVOID pSystemRangeStart;

PVOID pLowestSystemAddress;

PVOID pSharedUserData;

PVOID pProcessorControlRegion;

PVOID pProcessorControlBlock;

DWORD dGlobalFlag;

DWORD dI386MachineType;

DWORD dNumberProcessors;

DWORD dProductType;

DWORD dBuildNumber;

DWORD dNtMajorVersion;

DWORD dNtMinorVersion;

WORD awNtSystemRoot [MAX_PATH];

}

SPY_OS_INFO, *PSPY_OS_INFO, **PPSPY_OS_INFO;

#define SPY_OS_INFO_ sizeof (SPY_OS_INFO)

NTSTATUS SpyOutputOsInfo (PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

SPY_SEGMENT ss;

SPY_OS_INFO soi;

NT_PRODUCT_TYPE NtProductType;

PKPCR pkpcr;

NtProductType = (SharedUserData->ProductTypeIsValid

? SharedUserData->NtProductType

: 0);

SpySegment (X86_SEGMENT_FS, 0, &ss);

pkpcr = ss.pBase;

soi.dPageSize = PAGE_SIZE;

soi.dPageShift = PAGE_SHIFT;

soi.dPtiShift = PTI_SHIFT;

soi.dPdiShift = PDI_SHIFT;

soi.dPageMask = X86_PAGE_MASK;

soi.dPtiMask = X86_PTI_MASK;

soi.dPdiMask = X86_PDI_MASK;

soi.PteArray = X86_PTE_ARRAY;

soi.PdeArray = X86_PDE_ARRAY;

soi.pLowestUserAddress = MM_LOWEST_USER_ADDRESS;

soi.pThreadEnvironmentBlock = pkpcr->NtTib.Self;

soi.pHighestUserAddress = *MmHighestUserAddress;

soi.pUserProbeAddress = (PVOID) *MmUserProbeAddress;

soi.pSystemRangeStart = *MmSystemRangeStart;

soi.pLowestSystemAddress = MM_LOWEST_SYSTEM_ADDRESS;

soi.pSharedUserData = SharedUserData;

soi.pProcessorControlRegion = pkpcr;

soi.pProcessorControlBlock = pkpcr->Prcb;

soi.dGlobalFlag = *NtGlobalFlag;

soi.dI386MachineType = *KeI386MachineType;

soi.dNumberProcessors = *KeNumberProcessors;

soi.dProductType = NtProductType;

soi.dBuildNumber = *NtBuildNumber;

soi.dNtMajorVersion = SharedUserData->NtMajorVersion;

soi.dNtMinorVersion = SharedUserData->NtMinorVersion;

wcscpyn (soi.awNtSystemRoot, SharedUserData->NtSystemRoot,

MAX_PATH);

return SpyOutputBinary (&soi, SPY_OS_INFO_,

pOutput, dOutput, pdInfo);

}

列表 4-13. 獲取有關操作系統的信息

SPY_OS_INFO 結構的剩余成員會由位于內存中的系統數據結構填充。例如， SpyOutputOsInfo() 將內核的進程控制區域（ Kernel's Processor Control Region, KPCR ）的基地址賦值給 pProcessorControlRegion 成員。 KPCR 是一個非常重要的數據結構，該結構包含很多線程相關的數據項，因此，它位于自己的內存段中，該內存段的地址由 CPU 的 FS 寄存器給出。 Windows NT 4.0 和 Windows 2000 都將 FS 指向處于內核模式的線性地址 0xFFDFF000 。 SpyOutputOsInfo() 調用 SpySegment() 函數（稍后討論它）來查詢 FS 段在線性地址空間中的基地址。這個段中還包含內核的進程控制塊（ Kernel's Processor Control Block, KPRCB ）， KPCR 結構的 Prcb 成員指向 KPRCB 結構的首地址，緊隨其后的是一個 CONTEXT 結構，該結構包含當前線程的底層 CPU 信息。 KPCR 、 KPRCB 和 CONTEXT 結構定義在 ntddk.h 頭文件中。

列表 4-13 中引用的另一個內部數據結構是 SharedUserData 。該結構實際上是一個由一個“眾所周知的地址”通過類型轉化（ TypeCast ）得來的結構體指針。 列表 4-14 給出了它在 ntddk.h 中的定義。那個“眾所周知的地址”位于線性地址空間中，它會在編譯時被設置，因此不需要花費額外的時間或進行配置。顯然， SharedUserData 是一個指向 KUSER_SHARED_DATA 結構的指針，該結構的基地址在 0xFFDF0000 （這是一個線性地址）。這個內存區域由系統和用戶模式的應用程序共享，它包含像操作系統版本號這樣的數據， SpyOutputOsInfo() 將該版本數據復制到 SPY_OS_INFO 結構（由調用者提供）的 dNtMajorVersion 和 dNtMinorVersion 成員。就像我稍后要展示的那樣， KUSER_SHARED_DATA 結構將被映射到 0x7FFE0000 ，這樣用戶模式的代碼就可以訪問它了。

在對 Spy 設備的 IOCTL 函數的講解之后還將提供了一個示例程序，該示例程序會把返回的數據顯示在屏幕上。

#define KI_USER_SHARED_DATA 0xFFDF0000

#define SharedUserData ((KUSER_SHARED_DATA *const)KI_USER_SHARED_DATA)

列表 4-14. SharedUserData 結構定義

IOCTL 函數 SPY_IO_SEGMENT

到現在討論以變得更加有趣了。 SPY_IO_SEGMENT 函數通過一些更底層的操作來查詢指定段的屬性，調用者需要首先給出一個選擇器（ selector ）。 SpyDispatcher() 首先調用 SpyInputDword() 來獲取由調用程序傳入的選擇器的值。你可能還記得選擇器（ selector ）是一個 16 位的數。不過，只要可能，我就會嘗試避免使用 16 位的數據類型，這是因為原生的 WORD 在 i386 CPU 的 32 位模式下是 32 位的 DWORD 類型。因此，我將選擇器參數擴展為 DWORD ，不過其高 16 位總是 0 。如果 SpyInputDword() 報告操作成功，接下來就會調用 SpyOutputSegemnt() 函數（ 列表 4-15 給出了此函數）。不管 SpySegment() 幫助函數如何， SpyOutputSegemnt() 總是返回到調用者?；旧蟻碚f， SpySegment() 將填充 SPY_SEGMENT 結構，該結構定義于 列表 4-15 的頂部。它以 X86_SELECTOR 結構（參見 列表 4-2 ）的形式給出選擇器的值，緊隨其后的是 64 位的 X86_DESCRIPTOR ，以及相應的段基址，段的大小限制以及一個名為 fOk 的標志，該標志用來指出 SPY_SEGMENT 結構是否有效。在稍后的一些函數中需要一次返回多個段的屬性，利用 fOk 成員，調用者就可以將無效的段信息從輸出數據中篩選出來。

typedef struct _SPY_SEGMENT

{

X86_SELECTOR Selector;

X86_DESCRIPTOR Descriptor;

PVOID pBase;

DWORD dLimit;

BOOL fOk;

}

SPY_SEGMENT, *PSPY_SEGMENT, **PPSPY_SEGMENT;

#define SPY_SEGMENT_ sizeof (SPY_SEGMENT)

NTSTATUS SpyOutputSegment (DWORD dSelector,

PVOID pOutput,

DWORD dOutput,

PDWORD pdInfo)

{

SPY_SEGMENT ss;

SpySegment (X86_SEGMENT_OTHER, dSelector, &ss);

return SpyOutputBinary (&ss, SPY_SEGMENT_,

pOutput, dOutput, pdInfo);

}

BOOL SpySegment (DWORD dSegment,

DWORD dSelector,

PSPY_SEGMENT pSegment)

{

BOOL fOk = FALSE;

if (pSegment != NULL)

{

fOk = TRUE;

if (!SpySelector (dSegment, dSelector,

&pSegment->Selector))

{

fOk = FALSE;

}

if (!SpyDescriptor (&pSegment->Selector,

&pSegment->Descriptor))

{

fOk = FALSE;

}

pSegment->pBase =

SpyDescriptorBase (&pSegment->Descriptor);

pSegment->dLimit =

SpyDescriptorLimit (&pSegment->Descriptor);

pSegment->fOk = fOk;

}

return fOk;

}

列表 4-15. 查詢段的屬性

SpySegment() 函數依賴其他幾個幫助函數，以構建 SPY_SEGMENT 結構的某些部分。首先， SpySelector() 復制一個選擇器的值到傳入的 X86_SELECTOR 結構中。如果 SpySelector() 函數的第一個參數 dSegment 被設置為 X86_SEGMENT_OTHER （即 0 ）， dSelector 參數將假定已經指定了一個有效的選擇器值，因此該值將被簡單的附給輸出結構 X86_SELECTOR 的 wValue 成員。否則， dSelector 將被忽略， dSegment 會被用于一個 switch/case 結構中以便選擇一個段寄存器或任務寄存器 TR 。注意，這種請求需要少量的嵌入式匯編， C 語言沒有提供標準的方法訪問處理器相關的特性，如段寄存器。

#define X86_SEGMENT_OTHER 0

#define X86_SEGMENT_CS 1

#define X86_SEGMENT_DS 2

#define X86_SEGMENT_ES 3

#define X86_SEGMENT_FS 4

#define X86_SEGMENT_GS 5

#define X86_SEGMENT_SS 6

#define X86_SEGMENT_TSS 7

//---------------------------------------------------------------

BOOL SpySelector (DWORD dSegment,

DWORD dSelector,

PX86_SELECTOR pSelector)

{

X86_SELECTOR Selector = {0, 0};

BOOL fOk = FALSE;

if (pSelector != NULL)

{

fOk = TRUE;

switch (dSegment)

{

case X86_SEGMENT_OTHER:

{

if (fOk = ((dSelector >> X86_SELECTOR_SHIFT)

<= X86_SELECTOR_LIMIT))

{

Selector.wValue = (WORD) dSelector;

}

break;

}

case X86_SEGMENT_CS:

{

__asm mov Selector.wValue, cs

break;

}

case X86_SEGMENT_DS:

{

__asm mov Selector.wValue, ds

break;

}

case X86_SEGMENT_ES:

{

__asm mov Selector.wValue, es

break;

}

case X86_SEGMENT_FS:

{

__asm mov Selector.wValue, fs

break;

}

case X86_SEGMENT_GS:

{

__asm mov Selector.wValue, gs

break;

}

case X86_SEGMENT_SS:

{

__asm mov Selector.wValue, ss

break;

}

case X86_SEGMENT_TSS:

{

__asm str Selector.wValue

break;

}

default:

{

fOk = FALSE;

break;

}

}

RtlCopyMemory (pSelector, &Selector, X86_SELECTOR_);

}

return fOk;

}

列表 4-16. 獲取選擇器（ selector ）的值

SpyDispatcher() 將從一個 64 位的描述符中讀取數據，段選擇器指向該描述符（見 列表 4-17 ）。像你記得的那樣，所有的選擇器都包含一個表指示符（ Table Indicator, TI ）位，以確定選擇器引用的描述符是位于 GDT （ TI=0 ）中還是 LDT （ TI=1 ）中。 列表 4-17 的上半部分處理了是 LDT 的情況。首先，使用匯編指令 SLDT 和 SGDT 分別讀取 LDT 選擇器的值以及段的大小限制和 GDT 的基地址。還記得 GDT 的線性基地址是顯示指定的，而 LDT 是由 GDT 中的選擇器間接引用的嗎？所以， SpyDispatcher() 會首先驗證 LDT 選擇器的值。如果段選擇器不為空并且沒有超過 GDT 的限制，就會調用 SpyDescriptorType() 、 SpyDescriptorLimit() 和 SpyDescriptorBase()( 列表 4-17 給出了這些函數 ) 來獲取 LDT 的基本屬性：

l SpyDescriptorType() 返回描述符的類型數據及其 S 位域（參見 列表 4-2 ）。 LDT 選擇器必須指向一個類型為 X86_DESCRIPTOR_SYS_LDT 的系統描述符。

l SpyDescriptorLimit() 從描述符的 Limit1 、 Limit2 這兩個位域中匯總段的大小限制。根據描述符的 G 標志指定的內存分配粒度的不同，其處理方式也會不同。

l SpyDescriptorBase() 只是簡單的通過適當的組織描述符的 Base1 、 Base2 和 Base3 位域以獲取一個 32 位的線性地址。

BOOL SpyDescriptor (PX86_SELECTOR pSelector,

PX86_DESCRIPTOR pDescriptor)

{

X86_SELECTOR ldt;

X86_TABLE gdt;

DWORD dType, dLimit;

BOOL fSystem;

PX86_DESCRIPTOR pDescriptors = NULL;

BOOL fOk = FALSE;

if (pDescriptor != NULL)

{

if (pSelector != NULL)

{

if (pSelector->TI) // ldt descriptor

{

__asm

{

sldt ldt.wValue

sgdt gdt.wLimit

}

if ((!ldt.TI) && ldt.Index &&

((ldt.wValue & X86_SELECTOR_INDEX)

<= gdt.wLimit))

{

dType = SpyDescriptorType (gdt.pDescriptors +

ldt.Index,

&fSystem);

dLimit = SpyDescriptorLimit (gdt.pDescriptors +

ldt.Index);

if (fSystem && (dType == X86_DESCRIPTOR_SYS_LDT)

&&

((DWORD) (pSelector->wValue

& X86_SELECTOR_INDEX)

<= dLimit))

{

pDescriptors =

SpyDescriptorBase (gdt.pDescriptors +

ldt.Index);

}

}

}

else // gdt descriptor

{

if (pSelector->Index)

{

__asm

{

sgdt gdt.wLimit

}

if ((pSelector->wValue & X86_SELECTOR_INDEX)

<= gdt.wLimit)

{

pDescriptors = gdt.pDescriptors;

}

}

}

}

if (pDescriptors != NULL)

{

RtlCopyMemory (pDescriptor,

pDescriptors + pSelector->Index,

X86_DESCRIPTOR_);

fOk = TRUE;

}

else

{

RtlZeroMemory (pDescriptor,

X86_DESCRIPTOR_);

}

}

return fOk;

}

// -----------------------------------------------------------------

PVOID SpyDescriptorBase (PX86_DESCRIPTOR pDescriptor)

{

return (PVOID) ((pDescriptor->Base1 ) |

(pDescriptor->Base2 << 16) |

(pDescriptor->Base3 << 24));

}

// -----------------------------------------------------------------

DWORD SpyDescriptorLimit (PX86_DESCRIPTOR pDescriptor)

{

return (pDescriptor->G ? (pDescriptor->Limit1 << 12) |

(pDescriptor->Limit2 << 28) | 0xFFF

: (pDescriptor->Limit1 ) |

(pDescriptor->Limit2 << 16));

}

// -----------------------------------------------------------------

DWORD SpyDescriptorType (PX86_DESCRIPTOR pDescriptor,

PBOOL pfSystem)

{

if (pfSystem != NULL) *pfSystem = !pDescriptor->S;

return pDescriptor->Type;

}

列表 4-17. 獲取描述符的值

如果選擇器的 TI 位指定了一個 GDT 描述符，事情就簡單了。再次使用 SGDT 指令來取出 GDT 在線性內存中的位置和大小，如果選擇器指定的描述符索引位于適當的范圍， pDescriptors 變量將被設置為指向 GDT 的基地址。對于 LDT 和 GDT 來說， pDescriptors 變量都不會為空。如果調用者傳入的選擇器是有效的， 64 位的描述符值將被復制到調用者提供的 X86_DESCRIPTOR 結構中。否則，該結構的所有成員都會被 RtlZeroMemory() 設為 0 。

我們仍然在討論 列表 4-15 中的 SpySegment() 函數。 SpySelector() 和 SpyDescriptor() 調用已經解釋了。只剩下最后的 SpyDescriptorBase() 和 SpyDescriptorLimit() 調用，不過你應該已經知道這些函數作了些什么（見 列表 4-17 ）。如果 SpySelector() 和 SpyDescriptor() 成功，返回的 SPY_SEGMENT 結構將是有效的。 SpyDescriptorBase() 和 SpyDescriptorLimit() 不會返回出錯標志。因為它們不可能失敗，如果提供的描述符無效，只是會讓它們返回錯誤的數據而已。