首页 > 安全资讯 >

驱动笔记5:获取系统时间和启动毫秒数

09-01-11

文章作者:grayfox作者主页:http://nokyo.blogbus.com原始出处:http://nokyo.blogbus.com/logs/33347925.html     在编程中,我们经常需要获得系统时间或是从启动开始的毫秒数,启动毫秒数在ring3我们可以使用GetTick


文章作者:grayfox
作者主页:http://nokyo.blogbus.com
原始出处:http://nokyo.blogbus.com/logs/33347925.html

    在编程中,我们经常需要获得系统时间或是从启动开始的毫秒数,启动毫秒数在ring3我们可以使用GetTickCount()函数来获得,在ring0中也有一个对应的函数KeQueryTickCount(),不过单靠这个函数还不够,因为它参数中返回的不是直接的“毫秒”数,而是“滴答”数,而一个“滴答”在不同的环境中表示的时间是不同的,因此我们还要先使用另一个函数来辅助:KeQueryTimeIncrement,这个函数返回一个“滴答”表示的多少100纳秒(注意单位是100纳秒),下面的代码来自楚狂人的驱动教程:

VOID
MyGetTickCount()
{
    LARGE_INTEGER    tick_count;
    ULONG            inc;

    inc = KeQueryTimeIncrement();
    KeQueryTickCount(&tick_count);

    tick_count.QuadPart *= inc;
    tick_count.QuadPart /= 10000;

    KdPrint(("[TimeTest] TickCount : %d", tick_count.QuadPart));
}

    在ring0获取系统时间也不难,使用KeQuerySystemTime()即可得到当前时间,但它其实是一个格林威治时间,因此我们还要使用ExSystemTimeToLocalTime()转换成本地时间,最后还要使用RltTimeToTimeFieldh()函数把得到的时间转换成容易阅读的格式,下面代码演示了获取系统时间的方法(它同样来自楚狂人的驱动教程):

VOID
MyGetCurrentTime()
{
    LARGE_INTEGER CurrentTime;
    LARGE_INTEGER LocalTime;
    TIME_FIELDS   TimeFiled;
    static WCHAR  Time_String[32] = {0};

    // 这里得到的其实是格林威治时间
    KeQuerySystemTime(&CurrentTime);
    // 转换成本地时间
    ExSystemTimeToLocalTime(&CurrentTime, &LocalTime);
    // 把时间转换为容易理解的形式
    RtlTimeToTimeFields(&LocalTime, &TimeFiled);
   
    KdPrint(("[TimeTest] NowTime : %4d-%2d-%2d %2d:%2d:%2d",
        TimeFiled.Year, TimeFiled.Month, TimeFiled.Day,
        TimeFiled.Hour, TimeFiled.Minute, TimeFiled.Second));
}

    上述代码的运行效果如下所示:



相关文章
最新文章
热点推荐