NtClose 函式 (ntifs.h)
NtClose 例程會關閉物件句柄。
語法
__kernel_entry NTSYSCALLAPI NTSTATUS NtClose(
[in] HANDLE Handle
);
參數
[in] Handle
處理任何型別的物件。
傳回值
NtClose 會在成功時傳回STATUS_SUCCESS,或適當的NTSTATUS錯誤碼,如下所示。
| 傳回碼 | 意義 |
|---|---|
| STATUS_INVALID_HANDLE | 句柄 不是有效的句柄。 |
| STATUS_HANDLE_NOT_CLOSABLE | 呼叫線程沒有關閉句柄的許可權;也就是說,指定的物件句柄會受到保護,以免關閉任何 NtClose實例嘗試。 |
發生后一個 NTSTATUS 程式代碼的範例是呼叫 ZwDuplicateObject 時,OBJ_PROTECT_CLOSE 傳遞至 handle 屬性參數自變數。 核心可確保該案例中的句柄無法關閉。
言論
NtClose 是可在任何類型的物件上運作的泛型例程。
關閉開啟的物件句柄會導致該句柄變成無效。 系統也會遞減物件的句柄計數,並檢查是否可以刪除物件。 系統實際上不會刪除物件,直到關閉所有物件的句柄,而且不會保留任何參考的指標。
驅動程式必須在不再需要句柄時立即關閉它開啟的每個句柄。 核心句柄是系統線程開啟或指定OBJ_KERNEL_HANDLE旗標所開啟的句柄,只有在先前的處理器模式 KernelMode時,才能關閉。 這項需求同時適用於系統線程,以及針對從核心模式發出的 IRP 分派例程。 (如需先前處理器模式的詳細資訊,請參閱 ExGetPreviousMode。例如,NtCreateKey 傳回 DriverEntry 例程的句柄,後續無法由相同驅動程式的 分派例程關閉。 DriverEntry 例程會在系統進程中執行,而分派例程通常會在發出目前 I/O 要求的線程內容中執行,或在任意線程內容中針對較低層級的驅動程序執行。
只有在符合下列兩個條件之一時,才能關閉非kernel 句柄:先前的處理器模式 KernelMode,或呼叫線程有足夠的許可權可以關閉句柄。 當呼叫線程是建立句柄的線程時,就會發生後者的範例。
NtClose 的呼叫端不應該假設此例程會在傳回之前自動等候所有 I/O 完成。
如果呼叫此函式是在使用者模式中發生,您應該使用名稱 「NtClose」,而不是 「ZwClose」。
對於內核模式驅動程式的呼叫,NtXxx 和 ZwXxx 版本的 Windows 原生系統服務例程,在處理和解譯輸入參數的方式上可能會有不同的行為。 如需 nt NtXxx 與 ZwXxx 例程之間關聯性的詳細資訊,請參閱 使用 Nt 和 Zw 版本的原生系統服務例程。
要求
| 要求 | 價值 |
|---|---|
| 最低支援的用戶端 | Windows 2000 |
| 目標平臺 | 普遍 |
| 標頭 | ntifs.h (包括 Wdm.h、Ntddk.h、Ntifs.h) |
| 連結庫 | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
| DDI 合規性規則 | HwStorPortProhibitedDDIs、IrqlZwPassive、PowerIrpDDis、ZwRegistryCreate、ZwRegistryCreate(storport)、ZwRegistryOpen、ZwRegistryOpen(storport) |