[转载]WINDOWS 2K Dll 加载过程

bini

来自:[url]http://www.whitecell.org/forums/viewthread.php?tid=34[/url]
" {) d! g7 v# F! Z6 C5 `
& D5 @" @3 E7 o8 |  [WINDOWS 2K Dll 加载过程
jefong by 2005/03/30
这片文章是我在阅读完MSJ September 1999 Under the Hood后的总结。
; P' B* r. X% d# C2 J- _4 V  b( P在windows中exe可执行程序运行时都会调用一些DLL，例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢？通常，大家都知道在编写dll时会有一个DLLMain的入口函数，但是实际上这个函数并不是调用dll时最先的工作。首先dll需要被加载，然后要进行初始化分配，再之后才进入DLLMain。还有可能你的一个dll中还会调用另一各dll。那么dll到底是怎样加载和初始化的呢，我们来参考一下Platform SDK中的“Dynamic-Link Library Entry-Point Function”。
你的函数正在执行一个初始化任务，例如设置TLS，创建同步对象或打开一个文件。那么你在函数中一定不要调用LoadLibrary函数，因为dll加载命令会创建一个依赖循环。这点会导致在系统执行dll的初始化代码前就已经调用了dll的函数。例如，你不能在入口函数中调用FreeLibrary函数，因为这样会使系统在已经结束了dll后还调用dll中的操作，引起严重错误。
初始化任务时调用Win32函数也会引起错误，例如调用User，Shell和COM函数可能会引起存储无效的错误，因为dll中一些函数会调用LoadLibrary来加载别的系统组件。
  当你在你的DllMain函数中读一个注册表键值，这样做会被限制，因为在正常情况下ADVAPI32.DLL在你执行DllMain代码时还没被初始化，所以你调用的读注册表的函数会失败。
  在文档中初始化部分使用LoadLibrary函数是严格限制的，但是存在特殊的情况，在WindowsNT中USER32.DLL是忽略上面的限制的。这样一来好像与上面所说的相背了，在USER32.DLL的初始化部分出现了调用LoadLibrary加载dll的部分，但是没有出现问题。这是因为AppInit_Dlls的原因，AppInit_Dlls可以为任一个进程调用一个dll列表。所以，如果你的USER32.dll调用出现问题，那一定是AppInit_Dlls没有工作。
  接下来，我们来看看dll的加载和初始化是怎样完成的。操作系统有一个加载器，加载一个模块通常有两个步骤：1.把exe或dll映象到内存中，这时，加载器会检查模块的导入地址表(IAT)，看模块是否依赖于附加的dll。如果dll还没有被加载到进程中，那么加载器就把dll映象到内存。直到所有的未加载的模块都被映象到内存。2.初始化所有的dll。在windows NT中，系统调用exe和dll入口函数的程序会先调用LdrpRunInitializeRoutines函数，也就是说当你调用LoadLibrary时会调用LdrpRunInitializeRoutines，当调用LdrpRunInitializeRoutines时会首先检查已经映射到内存的dll是否已经被初始化。我们来看下面的代码（Matt的LdrpRunInitializeRoutines伪代码）：
- \" A' z; A# [2 i: W6 H//=============================================================================
( o% E2 E! e9 C7 \; {+ I// Matt Pietrek, September 1999 Microsoft Systems Journal
// 中文注释部分为jefong翻译
//
, r" U$ J" I; @- a3 @// Pseudocode for LdrpRunInitializeRoutines in NTDLL.DLL (NT 4, SP3)
( ]4 g/ j2 g8 s$ Z: {//
// 当LdrpRunInitializeRoutines 在一个进程中第一次被调用时（这个进程的隐式链接模块已经被初始化），bImplicitLoad 参数是非零。当使用LoadLibrary调用dll时，bImplicitLoad 参数是零；
5 V* \! o! ]* [  {( `//=============================================================================

7 i8 s! ~# p9 S( _2 [#include <ntexapi.h>    // For HardError defines near the end
0 ]5 K3 d" g0 y. W$ ]0 |
// Global symbols (name is accurate, and comes from NTDLL.DBG)
//  _NtdllBaseTag
% ^4 A( G9 ]2 [5 ?. A$ m//  _ShowSnaps
2 V/ O% m; ~) D' j//  _SaveSp
% w% E6 ~; A6 |3 t8 e: Z//  _CurSp
//  _LdrpInLdrInit
5 J$ L! W: f% k5 P7 G& A& [$ R8 m//  _LdrpFatalHardErrorCount
+ c! e0 \$ M- o//  _LdrpImageHasTls

NTSTATUS
LdrpRunInitializeRoutines( DWORD bImplicitLoad )
' S9 i" \+ A0 y" v4 m{
" Q  k# W- D' ^. ^5 p5 H    // 第一部分，得到可能需要初始化的模块的数目。一些模块可能已经被初始化过了
    unsigned nRoutinesToRun = _LdrpClearLoadInProgress();

+ N1 L& g9 R+ j/ t6 g2 l/ h, R    if ( nRoutinesToRun )
5 P1 H: ^& R% E: d    {
        // 如果有需要初始化的模块，为它们分配一个队列，用来装载各模块信息。
2 W; }, ^$ F% I3 y' U$ M        pInitNodeArray = _RtlAllocateHeap(GetProcessHeap(),
( O0 I, H$ X9 ]7 |                                            _NtdllBaseTag + 0x60000,
1 D# g! A% V; M0 J) a( r: C                                            nRoutinesToRun * 4 );
                           
        if ( 0 == pInitNodeArray )    // Make sure allocation worked
            return STATUS_NO_MEMORY;
: ]0 s% u, S7 Z! m1 ^+ Y+ D    }
    else
        pInitNodeArray = 0;
: k/ p: s: a. o3 K7 R
. j' f9 g1 j5 \! q; |: i& t    //第二部分；
* o. i6 t5 K6 @( J9 M    //进程环境块（Peb），包含一个指向新加载模块的链接列表的指针。
    pCurrNode = *(pCurrentPeb->ModuleLoaderInfoHead);
    ModuleLoaderInfoHead = pCurrentPeb->ModuleLoaderInfoHead;
        
9 F( G4 J0 Z2 L$ t5 ]    if ( _ShowSnaps )
: B4 p$ d. ~/ u3 x2 Z    {
        _DbgPrint( "LDR: Real INIT LIST\n" );
/ B- y" K# A/ p    }

% J# x; n8 p; ]3 Q& Q. `    nModulesInitedSoFar = 0;
# R4 @# C& L+ x
' ~! |) O+ T' |7 b    if ( pCurrNode != ModuleLoaderInfoHead ) //判断是否有新加载的模块
    {
        
        while ( pCurrNode != ModuleLoaderInfoHead ) //遍历所有新加载的模块
        {
            ModuleLoaderInfo  pModuleLoaderInfo;
" H; N; C& R$ }7 Y/ l            
9 z( T2 B  g4 Q; @  [# J            //
            //一个ModuleLoaderInfo结构节点的大小为0X10字节
            pModuleLoaderInfo = &NextNode - 0x10;
+ W9 H" w' D. m% |6 S+ l0 T. f            
            localVar3C = pModuleLoaderInfo;         

            //
            // 如果模块已经被初始化，就忽略
( t; e1 {9 z8 D! U( _3 @! Q1 r            // X_LOADER_SAW_MODULE = 0x40 已被初始化
            if ( !(pModuleLoaderInfo->Flags35 & X_LOADER_SAW_MODULE) )
* I! b5 r3 O- V  w" j: J, P  _; D5 `3 x            {
                //
/ y* B, o# V0 ^6 B1 o1 w5 f# i  ]2 I                // 模块没有被初始化，判断是否具有入口函数
5 A" _3 h8 u5 s7 d& K4 Q  A6 b                //
                if ( pModuleLoaderInfo->EntryPoint )
' _: L( @. q3 ^2 g: y7 ^& B                {
9 n) k1 R2 w+ Z9 u                    //
7 ]. \. i+ J- D+ J3 J4 F% {                    // 具有初始化函数，添加到模块列表中，等待进行初始化
                    pInitNodeArray[nModulesInitedSoFar] =pModuleLoaderInfo;

0 {0 x8 c8 w  B  ]0 |. }. Y9 }                    // 如果ShowSnaps为非零，那么打印出模块的路径和入口函数的地址
      // 例如：
# J/ ?  j1 ?3 R& y3 c: _7 z5 J                    // C:\WINNT\system32\KERNEL32.dll init routine 77f01000
                    if ( _ShowSnaps )
, m5 m4 [9 Z4 F( D                    {
2 y, T- _6 w4 _! z                        _DbgPrint(  "%wZ init routine %x\n",
                                    &pModuleLoaderInfo->24,
8 v0 P$ R1 `( d# N0 ^8 A                                    pModuleLoaderInfo->EntryPoint );
                    }
, x' m6 M; \4 s8 ]+ |
                    nModulesInitedSoFar++;
                }
$ q  Y! m9 K8 E            }

            // 设置模块的X_LOADER_SAW_MODULE标志。说明这个模块还没有被初始化。
0 A& F3 B" a. Y, J5 |: ^+ B            pModuleLoaderInfo->Flags35 &= X_LOADER_SAW_MODULE;
7 C% Q) ?0 |4 W
0 w7 A9 V$ C/ U2 h* G7 M2 R7 m            // 处理下一个模块节点
            pCurrNode = pCurrNode->pNext
/ ^! U6 P: V4 _% }, Q+ }8 A        }
    }
    else
    {
        pModuleLoaderInfo = localVar3C;     // May not be initialized???
! o) _" C$ f8 p6 h) \    }
   
    if ( 0 == pInitNodeArray )
; X3 }. R. A5 D1 f; u7 k        return STATUS_SUCCESS;

    // ************************* MSJ Layout! *****************
) P% V- d, S# q# L9 l    // If you're going to split this code across pages, this is a great
    // spot to split the code.  Just be sure to remove this comment
    // ************************* MSJ Layout! *****************
   
  n% D7 u) y/ G. a: m  c    //
, j5 o% g/ c$ x0 c8 H8 {0 v" j& z" P    // pInitNodeArray指针包含一个模块指针队列，这些模块还没有 DLL_PROCESS_ATTACH
    // 第三部分，调用初始化部分
    try     // Wrap all this in a try block, in case the init routine faults
    {
        nModulesInitedSoFar = 0;  // Start at array element 0
4 V6 z/ d8 ]' y! z1 V9 c
        //
( V4 o' Q- m, K+ C4 c, N        // 遍历模块队列
        //
' t3 a4 q' _# C& U/ o6 K2 \+ a; _        while ( nModulesInitedSoFar < nRoutinesToRun )
1 m+ S+ Q$ W2 E        {
            // 获得模块指针
            pModuleLoaderInfo = pInitNodeArray[ nModulesInitedSoFar ];

6 q' m1 m/ K3 P' n4 [* Q) R            // This doesn't seem to do anything...
; [' b' H1 ?& @. f: k3 s* A            localVar3C = pModuleLoaderInfo;
            
            nModulesInitedSoFar++;
               
            // 保存初始化程序入口指针
            pfnInitRoutine = pModuleLoaderInfo->EntryPoint;
1 a; R3 w# [# w, n- Q( A' R  y. j' w            
            fBreakOnDllLoad = 0;    // Default is to not break on load
9 h; B) j( Z" X+ F' R) l( d
            // 调试用
& C& o" I& l% F! f& t            // If this process is a debuggee, check to see if the loader
8 \, c  g8 D0 r, E  ~! k8 l            // should break into a debugger before calling the initialization.
            //
            // DebuggerPresent (offset 2 in PEB) is what IsDebuggerPresent()
            // returns. IsDebuggerPresent is an NT only API.
            //
" R9 n+ y' E2 o3 w0 Q- f            if ( pCurrentPeb->DebuggerPresent || pCurrentPeb->1 )
5 m  v3 }" U/ ~( M. x3 Y( W; z            {
" j" p8 E) ~: l% I                LONG retCode;
( A6 j, ~# V" d8 \  t0 o
                //              
" B1 T# I/ b  i                // Query the "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
. {- m6 D% |( z; J                // Windows NT\CurrentVersion\Image File Execution Options"
4 i7 O  |0 s, A& \                // registry key.  If a a subkey entry with the name of
; U& r9 {& t8 N) Y' W' M% y  C! k* c8 A% m                // the executable exists, check for the BreakOnDllLoad value.
                //
                retCode =
                    _LdrQueryImageFileExecutionOptions(
                                pModuleLoaderInfo->pwszDllName,
' M/ L, x% }% t                                "BreakOnDllLoad",pInitNodeArray
3 X, X# R7 A' v2 ]                                REG_DWORD,
5 f- l; b  M/ _% o                                &fBreakOnDllLoad,
                                sizeof(DWORD),
8 w/ f% q2 G7 a' A                                0 );

: G+ m& b% P) m                // If reg value not found (usually the case), then don't
5 D' G7 G6 S7 v6 w+ g; [. ?                // break on this DLL init
                if ( retCode <= STATUS_SUCCESS )
: F4 z  X% `9 k1 e                    fBreakOnDllLoad = 0;pInitNodeArray
/ p3 O" P: ?* b& ]6 |( p! b: g8 g' u            }
4 l  D& v4 m% c3 T4 J8 o            
" h8 v# i( E" L- K. z1 N6 C            if ( fBreakOnDllLoad )
' ?" V$ A; N+ r- m' f, h            {           
                if ( _ShowSnaps )
9 \* R2 `1 {, H1 u                {
! V4 W0 n" s( m6 t- P1 q                    // Inform the debug output stream of the module name
* r3 q: x8 H" c% u7 h: c- f5 z                    // and the init routine address before actually breaking
# O2 x: }6 G* r" u9 G, k+ K7 a                    // into the debugger
2 \! _* s  N% f3 O* E3 X
( H( C$ v, }+ m+ |# a$ p3 ~' v# K                    _DbgPrint(  "LDR: %wZ loaded.",
                                &pModuleLoaderInfo->pModuleLoaderInfo );
                    
                    _DbgPrint(  "- About to call init routine at %lx\n",
                                pfnInitRoutine )
5 c4 K: E! x4 R# c$ M& f3 [1 T5 C                }
! k9 e+ G& L! \' ]) G1 m- f4 H               
3 j/ t1 y1 B0 m" h6 u4 z                // Break into the debugger                              
% ]4 N' W& v% a! y                _DbgBreakPoint();   // An INT 3, followed by a RET
: s$ N  K  E( M' k) }  H            }
. P$ ]! C+ z" Z            else if ( _ShowSnaps && pfnInitRoutine )
, y6 q4 u) w, @9 s- \* L# e- |5 R; }            {
& o, T9 ?: }4 ]9 |                // Inform the debug output stream of the module name
                // and the init routine address before calling it               
                _DbgPrint(  "LDR: %wZ loaded.",
                            pModuleLoaderInfo->pModuleLoaderInfo );
4 q& q4 ^9 G. y! E6 M1 d4 I1 l
+ A$ k9 S" H4 W9 q                _DbgPrint("- Calling init routine at %lx\n", pfnInitRoutine);
$ |8 T* \- b. A7 `" f* S            }
                    
0 t3 N1 g0 A- l0 n            if ( pfnInitRoutine )
            {
                // 设置DLL_PROCESS_ATTACH标志
$ F8 N& M) e1 Q2 d) F                //
0 d* L/ ~$ }# `; h                // (Shouldn't this come *after* the actual call?)
                //
                // X_LOADER_CALLED_PROCESS_ATTACH = 0x8            
' ]% G1 N/ ~6 r+ z, a9 m$ X  Q                pModuleLoaderInfo->Flags36 |= X_LOADER_CALLED_PROCESS_ATTACH;

                //
                // If there's Thread Local Storage (TLS) for this module,
6 h4 B+ E9 t/ U" ~- ^( @                // call the TLS init functions.  *** NOTE *** This only
                // occurs during the first time this code is called (when
, V6 `7 A- i( V  R' l! G5 c                // implicitly loaded DLLs are initialized).  Dynamically
                // loaded DLLs shouldn't use TLS declared vars, as per the
) O" y/ f4 s  y" s+ _                // SDK documentation
, ?* _% p- p1 [% {: S/ a                // 如果模块需要分配TLS，调用TLS初始化函数
1 m$ C+ G  q4 k  // 注意只有在第一次调时（bImplicitLoad!=0）才会分配TLS，就是隐式dll加载时
  d8 f) m6 A0 T  // 当动态加载时(bImplicitLoad==0)就不需要声明TLS变量
3 ?* _3 {7 d( Z: U* y: F                if ( pModuleLoaderInfo->bHasTLS && bImplicitLoad )
' l" b# x) k' W+ |7 S+ t+ M  v                {
                    _LdrpCallTlsInitializers(   pModuleLoaderInfo->hModDLL,
( J7 n- V% X1 }2 T                                                DLL_PROCESS_ATTACH );
% P' }1 h  A5 c# ]% O2 I" s: z                }
# @5 E" {4 ]% T% f# ?4 J1 Z5 ^& P               
& W5 I3 V- l/ X' ~4 K! H
2 [$ ^3 n8 a4 f+ @' D/ B; D                hModDLL = pModuleLoaderInfo->hModDLL

) V4 T7 n  q6 }8 K% G- }7 `7 Y                MOV     ESI,ESP // Save off the ESP register into ESI
  
  // 设置入口函数指针               
8 a0 [6 [% I% d, l/ _9 C$ I                MOV     EDI,DWORD PTR [pfnInitRoutine]                     

                // In C++ code, the following ASM would look like:
% g! O& X' }. H# `7 t                //
# A- f$ n, _6 z# c  N* y5 |                // initRetValue =
/ t! |( @5 s% W                // pfnInitRoutine(hInstDLL,DLL_PROCESS_ATTACH,bImplicitLoad);
                //
" g! |* r, Y) u' g/ Q2 y% h
                PUSH    DWORD PTR [bImplicitLoad]
9 K. t0 v9 ?! k0 E6 v7 i               
                PUSH    DLL_PROCESS_ATTACH
$ J9 H# L2 V' `3 n7 [. z               
5 L: a3 H& s# d+ i5 z. Q' l                PUSH    DWORD PTR [hModDLL]
. U. W$ z0 {/ ~1 v               
$ @3 v1 r7 B. a4 P' ^                CALL    EDI     // 调用入口函数
+ z; Y8 n- I0 I- a; D: o( u4 I( c) \               
                MOV     BYTE PTR [initRetValue],AL  // 保存入口函数返回值

                MOV     DWORD PTR [_SaveSp],ESI // Save stack values after the
                MOV     DWORD PTR [_CurSp],ESP  // entry point code returns
9 u' P5 `6 g$ Y; D
                MOV     ESP,ESI     // Restore ESP to value before the call
9 j! y( O# F7 b3 \- Y' p- F
                //
                // 检查调用前后的ESP值是否一至
  //
                if ( _CurSP != _SavSP )
                {
- ^4 A' ]5 a5 U$ o& L) w  G                    hardErrorParam = pModuleLoaderInfo->FullDllPath;
9 c, }! R: z: ]6 Z7 n
                    hardErrorRetCode =
1 a/ \: B* Q6 V- b) U% ?: g5 Z                        _NtRaiseHardError(
% n2 P" e2 R) ~; I6 }4 @5 T                            STATUS_BAD_DLL_ENTRYPOINT | 0x10000000,
/ R) ~3 F5 E; D                            1,  // Number of parameters
                            1,  // UnicodeStringParametersMask,
! d- V$ P% B" h/ @$ Q6 H5 H# U- u                            &hardErrorParam,
# E0 o: G% g0 W) Z, p6 B. T                            OptionYesNo,    // Let user decide
                            &hardErrorResponse );
                                            
, v2 o' d  ?% B- O5 u' r0 F! m                    if ( _LdrpInLdrInit )
                        _LdrpFatalHardErrorCount++;
- j- E% [3 d/ h5 u8 D% o
                    if (    (hardErrorRetCode >= STATUS_SUCCESS)
2 |) R' }2 S- s1 D/ g& D                        &&  (ResponseYes == hardErrorResponse) )
                    {
                        return STATUS_DLL_INIT_FAILED;
                    }
                }

                //
; i) i: T" e0 S8 B  K                // 入口函数返回0，错误
6 s+ o. L8 C6 T                //
                if ( 0 == initRetValue )
                {
, E9 W! o6 R5 i                    DWORD hardErrorParam2;
                    DWORD hardErrorResponse2;
                                       
8 n* |  p8 R% P% z/ m. ]& D                    hardErrorParam2 = pModuleLoaderInfo->FullDllPath;
' ?9 ], }# \) Q8 v. g- V                    
                    _NtRaiseHardError(  STATUS_DLL_INIT_FAILED,
                                        1,  // Number of parameters
                                        1,  // UnicodeStringParametersMask
                                        &hardErrorParam2,
                                        OptionOk,   // OK is only response
                                        &hardErrorResponse2 );
                                                            
+ K2 Y/ q% d0 u) X                    if ( _LdrpInLdrInit )
7 V3 K/ l* U$ w( L1 m. x                        _LdrpFatalHardErrorCount++;
" A* ]% |* @- F; k" y
( e5 y' t0 q+ B8 T                    return STATUS_DLL_INIT_FAILED;
                }
+ w% F- w" }5 D7 R0 e# f            }
        }
5 H$ @, n: c* j  i
5 r) e' W4 O* m" b9 z3 T5 B        //
4 w1 [: U* x: f. @+ H        // 如果EXE已经拥有了TLS，那么调用TLS初始化函数，也是在进程第一次初始化dll时
        //      
        if ( _LdrpImageHasTls && bImplicitLoad )
        {
" p& p8 r9 ?9 W  b            _LdrpCallTlsInitializers(   pCurrentPeb->ProcessImageBase,
/ x) g( v1 ~' f  q9 [# |                                        DLL_PROCESS_ATTACH );
# d3 Z4 k8 M$ e" _! g) Q1 `- Z        }
    }
    __finally
0 {- Y9 N+ \% t: W    {
7 O2 Q1 D' A$ h3 L+ }        //
        // 第四部分；
        // 清除分配的内存
+ r# {8 g% s2 r) W! f/ S        _RtlFreeHeap( GetProcessHeap(), 0, pInitNodeArray );
    }
8 O6 P. d6 w, P
    return STATUS_SUCCESS;
' p$ z) h' {/ T' F0 _; z" {2 h8 D6 r}   
, ], N* g) m: w; K, x7 w+ b' ]: ^
这个函数分为四个主要部分：
一：第一部分调用_LdrpClearLoadInProgress函数，这个NTDLL函数返回已经被映象到内存的dll的个数。例如，你的进程调用exm.dll,而exm.dll又调用exm1.dll和exm2.dll，那么_LdrpClearLoadInProgress会返回3。得到dll个数后，调用_RtlAllocateHeap，它会返回一个内存的队列指针。伪码中的队列指针为pInitNodeArray。队列中的每个节点指针都指向一个新加载的dll的结构信息。
二：第二部分的代码通过进程内部的数据结构获得一个新加载dll的链接列表。并且检查dll是否有入口指针，如果有，就把模块信息指针加入pInitNodeArray中。伪码中的模块信息指针为pModuleLoaderInfo。但是有的dll是资源文件，并不具有入口函数。所以pInitNodeArray中节点比_LdrpClearLoadInProgress返回的数目要少。
三：第三部分的代码枚举了pInitNodeArray中的对象，并且调用了入口函数。因为这部分的初始化代码有可能出现错误，所以使用了_try异常扑获功能。这就是为什么在DllMain中出现错误后不会使整个进程终止。
9 @& s% W% o% m7 C另外，在调用入口函数时还会对TLS进行初始化，当用 __declspec来声明TLS变量时，链接器包含的数据可以进行触发。在调用dll的入口函数时，LdrpRunInitializeRoutines函数会检查是否需要初始化一个TLS，如果需要，就调用_LdrpCallTlsInitializers。
4 F4 p; c5 |( z$ `在最后的伪代码部分使用汇编语言来进行dll的入口函数调用。主要的命令时CALL EDI；EDI中就是入口函数的指针。当此命令返回后，dll的初始化工作就完成了。对于C++写的dll，DllMain已经执行完成了它的DLL_PROCESS_ATTACH代码。注意一下入口函数的第三个参数pvReserved，当exe或dll隐式调用dll时这个参数是非零，当使用LoadLibrary调用时是零。在入口函数调用以后，加载器会检查调用入口函数前和后的ESP的值，如果不同，dll的初始化函数就会报错。检查完ESP后，还会检查入口函数的返回值，如果是零，说明初始化的时候出现了什么问题。并且系统会报错并停止调用dll。在第三部分的最后，在初始化完成后，如果exe进程已经拥有了TLS，并且隐式调用的dll已经被初始化，那么会调用_LdrpCallTlsInitializers。
. P8 n, K1 f6 ~" H# F四：第四部分代码是清理代码，象_RtlAllocateHeap 分配的pInitNodeArray的内存需要被释放。释放代码出现在_finally块中，调用了_RtlFreeHeap 。