在编程中,我们经常需要获得系统时间或是从启动开始的毫秒数,启动毫秒数在ring3我们可以使用GetTickCount()函数来获得,在ring0中也有一个对应的函数KeQueryTickCount(),不过单靠这个函数还不够,因为它参数中返回的不是直接的“毫秒”数,而是“滴答”数,而一个“滴答”在不同的环境中表示的时间是不同的,因此我们还要先使用另一个函数来辅助:KeQueryTimeIncrement,这个函数返回一个“滴答”表示的多少100纳秒(注意单位是100纳秒),下面的代码来自楚狂人的驱动教程:
VOIDMyGetTickCount(){ LARGE_INTEGER tick_count; ULONG inc;
inc = KeQueryTimeIncrement(); KeQueryTickCount(&tick_count);
tick_count.QuadPart *= inc; tick_count.QuadPart /= 10000;
KdPrint(("[TimeTest] TickCount : %d", tick_count.QuadPart));}
在ring0获取系统时间也不难,使用KeQuerySystemTime()即可得到当前时间,但它其实是一个格林威治时间,因此我们还要使用ExSystemTimeToLocalTime()转换成本地时间,最后还要使用RltTimeToTimeFieldh()函数把得到的时间转换成容易阅读的格式,下面代码演示了获取系统时间的方法(它同样来自楚狂人的驱动教程):
VOIDMyGetCurrentTime(){ LARGE_INTEGER CurrentTime; LARGE_INTEGER LocalTime; TIME_FIELDS TimeFiled; static WCHAR Time_String[32] = {0};
// 这里得到的其实是格林威治时间 KeQuerySystemTime(&CurrentTime); // 转换成本地时间 ExSystemTimeToLocalTime(&CurrentTime, &LocalTime); // 把时间转换为容易理解的形式 RtlTimeToTimeFields(&LocalTime, &TimeFiled); KdPrint(("[TimeTest] NowTime : M---- -:-:-", TimeFiled.Year, TimeFiled.Month, TimeFiled.Day, TimeFiled.Hour, TimeFiled.Minute, TimeFiled.Second));}
