白话IoRegisterFsRegistrationChange

最新推荐文章于 2024-08-11 16:24:27 发布
最新推荐文章于 2024-08-11 16:24:27 发布
阅读量769 收藏
点赞数
分类专栏: 白话系列(事实解读名词) 文章标签: IoRegisterFsRegistra
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sqqsongqiqi/article/details/42556063
版权

       IoRegisterFsRegistrationChange()注册回调函数,监视文件系统的激活或者注销。  


status = IoRegisterFsRegistrationChange( DriverObject, SfFsNotification );

SfFsNotification 函数声明:

VOID
SfFsNotification (
    IN PDEVICE_OBJECT DeviceObject,
    IN BOOLEAN FsActive
    );

那么 IoRegisterFsRegistrationChange 到底做了什么呢?  上源码 

NTSTATUS
IoRegisterFsRegistrationChange(
    IN PDRIVER_OBJECT DriverObject,
    IN PDRIVER_FS_NOTIFICATION DriverNotificationRoutine
    )

/*++

Routine Description:

    This routine registers the specified driver's notification routine to be
    invoked whenever a file system registers or unregisters itself as an active
    file system in the system.

Arguments:

    DriverObject - Pointer to the driver object for the driver.

    DriverNotificationRoutine - Address of routine to invoke when a file system
        registers or unregisters itself.

Return Value:

    STATUS_DEVICE_ALREADY_ATTACHED -
                Indicates that the caller has already registered
                last with the same driver object & driver notification

    STATUS_INSUFFICIENT_RESOURCES
    STATUS_SUCCESS

--*/

{
    PNOTIFICATION_PACKET nPacket;

    PAGED_CODE();

    ExAcquireResourceExclusiveLite( &IopDatabaseResource, TRUE );

    if (!IsListEmpty( &IopFsNotifyChangeQueueHead )) {

        //
        // Retrieve entry at tail of list
        //

        nPacket = CONTAINING_RECORD( IopFsNotifyChangeQueueHead.Blink, NOTIFICATION_PACKET, ListEntry );

        if ((nPacket->DriverObject == DriverObject) &&
            (nPacket->NotificationRoutine == DriverNotificationRoutine)) {

            ExReleaseResourceLite( &IopDatabaseResource);
            return <strong>STATUS_DEVICE_ALREADY_ATTACHED</strong>;
        }
    }

    //
    // Begin by attempting to allocate storage for the shutdown packet.  If
    // one cannot be allocated, simply return an appropriate error.
    //

    nPacket = ExAllocatePoolWithTag( PagedPool|POOL_COLD_ALLOCATION,
                                     sizeof( NOTIFICATION_PACKET ),
                                     'sFoI' );
    if (!nPacket) {

        ExReleaseResourceLite( &IopDatabaseResource );
        return <strong>STATUS_INSUFFICIENT_RESOURCES</strong>;
    }

    //
    // Initialize the notification packet and insert it onto the tail of the
    // list.
    //

    nPacket->DriverObject = DriverObject;
    nPacket->NotificationRoutine = DriverNotificationRoutine;

    InsertTailList( &IopFsNotifyChangeQueueHead, &nPacket->ListEntry );

    IopNotifyAlreadyRegisteredFileSystems(&IopNetworkFileSystemQueueHead, DriverNotificationRoutine, FALSE);
    IopNotifyAlreadyRegisteredFileSystems(&IopCdRomFileSystemQueueHead, DriverNotificationRoutine, TRUE);
    IopNotifyAlreadyRegisteredFileSystems(&IopDiskFileSystemQueueHead, DriverNotificationRoutine, TRUE);
    IopNotifyAlreadyRegisteredFileSystems(&IopTapeFileSystemQueueHead, DriverNotificationRoutine, TRUE);

    //
    // Notify this driver about all already notified filesystems
    // registered as an active file system of some type.
    //


    ExReleaseResourceLite( &IopDatabaseResource );

    //
    // Increment the number of reasons that this driver cannot be unloaded.
    //

    ObReferenceObject( DriverObject );

    return STATUS_SUCCESS;
}

这是一个结构体

typedef struct _NOTIFICATION_PACKET {
    LIST_ENTRY ListEntry;
    PDRIVER_OBJECT DriverObject;
    PDRIVER_FS_NOTIFICATION NotificationRoutine;
} NOTIFICATION_PACKET, *PNOTIFICATION_PACKET;

我们只看这个结构体就可以猜测到, 注册了通知的DriverObject 连接成一个链表。这个链表的头是 

LIST_ENTRY IopFsNotifyChangeQueueHead;

IoRegisterFsRegistrationChange这个函数一共有3个返回情况

1 STATUS_DEVICE_ALREADY_ATTACHED

         首先探测注册有回调驱动的尾部,如果已经存在,则返回此状态。

2 STATUS_INSUFFICIENT_RESOURCES

        如果以上探测不存在或者该链表位空, 则申请分页内存,申请出错返回以上状态。

3 STATUS_SUCCESS

       只有以上2种情况都过了以后,才会来到这种状态。

       此时,将该结构体插入链表。并调用IopNotifyAlreadyRegisteredFileSystems去通知已经注册了的文件系统,此时会执行我们注册的回调函数SfFsNotification

VOID
IopNotifyAlreadyRegisteredFileSystems(
    IN PLIST_ENTRY  ListHead,
    IN PDRIVER_FS_NOTIFICATION DriverNotificationRoutine,
    IN BOOLEAN SkipRaw
    )
/*++

Routine Description:

    This routine calls the driver notification routine for filesystems
    that have already been registered at the time of the call.

Arguments:

    ListHead - Pointer to the filesystem registration list head.
    DriverNotificationRoutine - Pointer to the routine that has to be called.

Return Value:

    None.

--*/
{
    PLIST_ENTRY entry;
    PDEVICE_OBJECT fsDeviceObject;

    entry = ListHead->Flink;
    while (entry != ListHead) {

        //
        // Skip raw filesystem notification
        //
        if ((entry->Flink == ListHead) && (SkipRaw)) {
            break;
        }

        fsDeviceObject = CONTAINING_RECORD( entry, DEVICE_OBJECT, Queue.ListEntry );
        entry = entry->Flink;
        DriverNotificationRoutine( fsDeviceObject, TRUE );
    }
}

然后增加DriverObject的引用。 

ObReferenceObject( DriverObject );












UnMovedMover
关注
专栏目录
文件过滤驱动 文件系统激活通知 IoRegisterFsRegistrationChange函数实现
baund的专栏
12-08 2510
IoRegisterFsRegistrationChange 注册一个文件系统变动回调函数,用来被通知文件系统的激活和注销,激活是指第一次加载文件系统,当一个文件系统已经加载后,当加载一个同种文件系统的卷时,该文件系统就和激活没关系。话说该函数调用后,激活的文件系统会重新激活一遍,在2k SP4之后的系统都会这样做。 现在考虑下,这种机制是怎么实现的,猜测是在注册的时候,注册完成后,系统将各
IoRegisterFsRegistrationChange routine
死胖子的博客
02-10 1126
IoRegisterFsRegistrationChange routine IoRegisterFsRegistrationChange 例程注册一个文件过滤器驱动器的通知例程到文件系统上。当文件系统注册或者注销自身时调用这个通知例程。 Syntax   NTSTATUS IoRegisterFsRegistrationChange(   _In_ PDRIVER_OBJECT    
windows内核开发防崩溃和容错技术
最新发布
zhangyihu321的专栏
08-11 776
windows 驱动 防崩溃 容错技术
ExAllocatePool函数
weixin_34174132的博客
11-04 201
如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式: PVOID p = ExAllocatePool(Pool_Type, Size); PVOID p = ExAllocatePool...
4.1 内存的分配与释放
autumn20080101的专栏
12-05 941
四、 在驱动中使用链表 4.1 内存的分配与释放 传统的C语言中,分配内存常常使用的函数是malloc,但在驱动开发过程中这个函数不再有效。驱动中分配内存,最常用的是调用ExAllocatePoolWithTag或ExAllocatePool。 // 定义一个内存分配标记 #defineMEM_TAG ‘MyTt’ // 目标字符串,接下来它需要分配空间。 UNICODE_STRIN
白话机器学习的数学-立石贤吾-源代码.zip
08-18
白话机器学习的数学-立石贤吾-源代码.zip
白话机器学习的数学.docx
09-13
白话机器学习的数学 机器学习是一种人工智能的方法论,通过让计算机自主学习数据中的规律和模式,从而完成特定的任务。机器学习有监督学习和无监督学习两种类型。在监督学习中,我们向模型提供带有标签的训练数据,...
MoreWindows白话经典算法之七大排序第2版(高清)
09-10
### 更多Windows白话经典算法之七大排序第2版(高清) #### 一、概览 本书《更多Windows白话经典算法之七大排序第2版》是一部深入浅出讲解七种经典排序算法的著作,旨在帮助读者理解并掌握冒泡排序、直接插入排序...
《罗织经》白话全译.doc
11-11
《罗织经》白话全译.doc
函数之ExAllocatePool--内存分配
fun0526的专栏
08-19 5132
<br /> <br />如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式:<br /> <br />     PVOID p = ExAllocatePool(Pool_Type, Size);<br />    PVOID p = ExAllocatePoolWithTag(Pool_Type, Size, Tag);<br /> <br /
ExAllocatePoolWithTag
扣的CODE
08-03 8081
功能描述: ExAllocatePoolWithTag函数:根据指定存储区类型参数分配一段空间,并把该空间的首地址作为返回值发送给调用者。 参数说明: PoolType 该参数用来指定想要申请的内存的类型(内核空间中的内存主要分成两类;分页内存区,和未分页内存区)。查询可选的内存区类型可以到MSDN查询POOL_TYPE结构。 您也可以修改该参数,将当前的值和标志POOL_RAISE
读源码笔记--文件过滤驱动FileSpy第2篇 -- 绑定CDO
junjie1595的专栏
11-18 1448
第一篇中,已经解读了DriverEntry这个函数,函数里面就是做了一些初始化工作,创建用于通信的设备,设置各种回调,注册文件系统变动回调等等。 今天接着看filespy.c中的SpyFsNotification函数。该函数是IoRegisterFsRegistrationChange注册的文件系统变动回调函数。先看这个的理由如下: 在没看任何代码前,我的思维是:首先绑定系统中的所有物
SFilter框架理解
zhuhuibeishadiao
04-18 8121
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
内存操作相关内核 API 的使用
weixin_30872789的博客
12-04 154
1、RtlCopyMemory 、RtlCopyBytes、RtlMoveMemory; 2、RtlZeroMemory、RtlFillMemory; 3、RtlEqualMemory; 4、ExAllocatePool、ExFreePool; 5、New(重载)、Delete操作符 一、内存的复制与移动 1、RtlCopyMemory 作用:把一个缓冲区的内容复制到另一一个缓冲区。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值