IoSkipCurrentIrpStackLocation宏

最新推荐文章于 2017-01-04 22:18:53 发布
最新推荐文章于 2017-01-04 22:18:53 发布
阅读量740 收藏
点赞数
分类专栏: windows驱动设计 文章标签: io header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Iqian1314/article/details/5666183
版权
IoSkipCurrentIrpStackLocation宏
当驱动被分层以后,他们被注册到一个chain中,IRP会在这个chain中传递,从最上面,到最下面,再回到最上面
为适应这种体制,IRP的结构的大小是不固定的,大体结构如下:
--------------------
| IRP header |
--------------------
|IO_STACK_LOCATION |<-----lowest driver stack location #index1
--------------------
|IO_STACK_LOCATION |<-----next higher stack location #index2
--------------------
|IO_STACK_LOCATION |<-----topmost driver stack location #index3
--------------------
也就是说,chain的最顶层的驱动,对应的IO_STACK_LOCATION是在最下面
IRP头中存放着当前驱动对应的IO_STACK_LOCATION的索引,是从1开始的,不是从0开始
同时,也保存着当前驱动对应的IO_STACK_LOCATION的地址
最上面的驱动处理完这个IRP后,调用IoCallDriver,这会使索引减1,地址也修正为下一个IO_STACK_LOCATION的地址,
然后IRP被交给下一个Driver处理,
而IoSkipCurrentIrpStackLocation宏的作用就是使IO_STACK_LOCATION指针少前进一步
而IoCallDriver函数会使IO_STACK_LOCATION指针向前一步,中和的结果就是IO_STACK_LOCATION指针不变
当下一个驱动程序的派遣例程调用IoGetCurrentIrpStackLocation时,它将收到与我们正使
用的完全相同的IO_STACK_LOCATION指针,因此,它所处理的将是同一个请求(相同的主副功
能代码)以及相同的参数
Iqian1314
关注
专栏目录
关于irp堆栈
test
05-08 1161
<br />当驱动被分层以后,他们被注册到一个chain中,IRP会在这个chain中传递,从最上面,到最下面,再回到最上面 <br />为适应这种体制,IRP的结构的大小是不固定的,大体结构如下: <br />-------------------- <br />| IRP header | <br />-------------------- <br />|IO_STACK_LOCATION |<-----lowest driver stack location #index1 <br />------
IO_STACK_LOCATION与IRP的一点笔记
evil的心情站
09-23 800
IO_STACK_LOCATION和IRP算是驱动中两个很基础的东西,为了理解这两个东西,找了一点资料。 1. IRP可以看成是Win32窗口程序中的消息(Message),DEVICE_OBJECT可以看成是Win32窗口程序中的窗口(Window) 2. 任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆
IoSkipCurrentIrpStackLocation macro
死胖子的博客
02-08 1218
IoSkipCurrentIrpStackLocation macro IoSkipCurrentIrpStackLocation 修改系统的 IO_STACK_LOCATION 数组指针,当本层驱动程序调用下一层的驱动程序时,下层驱动程序能够收到与本层驱动程序收到一样的 IO_STACK_LOCATION 结构。 Syntax   VOID IoSkipCurrentIrpStackL
IoSkipCurrentIrpStackLocation .
ruanben的专栏
02-23 1015
当驱动被分层以后,他们被注册到一个chain中,IRP会在这个chain中传递,从最上面,到最下面,再回到最上面 为适应这种体制,IRP的结构的大小是不固定的,大体结构如下: -------------------- | IRP header | -------------------- |IO_STACK_LOCATION | --------------------
IoSkipCurrentIrpStackLocation的疑问
nanhaizhixin的专栏
09-23 533
http://blog.sina.com.cn/s/blog_62a630640100gahv.html 当驱动被分层以后,他们被注册到一个chain中,IRP会在这个chain中传递,从最上面,到最下面,再回到最上面 为适应这种体制,IRP的结构的大小是不固定的,大体结构如下: -------------------- | IRP header | ------------------
IoSkipCurrentIrpStackLocation .(转)
weixin_30847865的博客
06-09 71
原文链接:http://m.blog.csdn.net/blog/ruanben/19758769# 当驱动被分层以后,他们被注册到一个chain中,IRP会在这个chain中传递,从最上面,到最下面,再回到最上面 为适应这种体制,IRP的结构的大小是不固定的,大体结构如下: -------------------- | IRP header | --------...
IoGetCurrentIrpStackLocationIoSkipCurrentIrpStackLocationIoCopyCurrentIrpStackLocationToNext
125096
02-19 941
IoGetCurrentIrpStackLocation 例程返回在给定的IRP的指针调用程序的堆栈位置 #define IoGetCurrentIrpStackLocation( Irp ) ( (Irp)->Tail.Overlay.CurrentStackLocation ) IoSkipCurrentIrpStackLocation 所述IoSkipCurrentIrpStack
键盘过滤驱动学习
qq_22038209的博客
01-04 1282
--------------------------------------------------------------2016-7-15-------------- 1.windows中的键盘技术原理(键盘过滤驱动是工作在异步模式下)   在任务管理器中,csrss.exe进程描述为:   Csrss.exe进程有一个线程叫做win32!RawInputThread,这
获取按键信息
一介码农,热爱金融。
11-19 1716
Windows程序都是基于消息设计的。当你按下一个按键,或者点击一下鼠标,都会想操作系统的内核发送一个Irp消息。你只要捕获这个消息,将这个消息复制下,然后将消息放行。将复制的消息传送给你的应用程序。这就是获取键盘按键消息的实现方法。         很多黑客软件获取别人计算的密码,大多也用这种方法。建议广大用户在使用计算机进行输入游戏账号密码或者银行账号密码等,多用软键盘。防止别人通过这种
IRP与IO_STACK_LOCATION
02-18
通过调用`IoSkipCurrentIrpStackLocation`和`IoCopyCurrentIrpStackLocationToNext`可以实现这一目的。前者简单地将堆栈位置向前移动一位,后者则复制当前堆栈位置的信息到下一个位置,并将控制权转移给下一个驱动...
C/C++ 实现文件透明加解密
热门推荐
尹成的技术博客
11-05 1万+
    今日遇见一个开超市的朋友,真没想到在高校开超市一个月可以达到月净利润50K,相比起我们程序员的工资,真是不可同日而语,这个世道啊,真是做程序员不如经商开超市,我们高科技的从业者,真是造原子弹不如卖茶叶蛋。请见代码详细注释   //  修复涉及后视列表的Win2K兼容性//  Fixes Win2K compatibility regarding lookaside
驱动开发之 键盘过滤驱动--传统型键盘过滤
Lydia的博客
07-30 5562
近来在看 《寒江独钓 windows内核编程》,看到键盘过滤部分,记下笔记,仅供参考,有理解不对之处,还望大家指正。 现在来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们可以在读派遣函数中设置完成例程,当IRP完成后在完成历程中得到按键信息。 KbdClass被称为键盘类驱动,在windows中,类
键盘的过滤(绑定驱动kdbclass的所有设备对象)
u012640985的专栏
04-17 2166
一、首先irp的传递流程 1、I/O管理器创建一个空的IRP,然后将该IRP沿设备堆栈向下传递,比如IRP_MJ_CREATE、IRP_MJ_READ 2、如果驱动程序设置的分发函数捕获到IRP_MJ_CREATE,那么可以在这个分发函数(CREATEdispatch)中对该IRP进行操作,比如IoSetCompletionRoutine,这样当该IRP返回的时候,我们的驱动程序就
驱动无法安装成功的解决办法
Iqian1314的专栏
07-14 5309
<br />经过几天的努力,终于解决了驱动安装不成功的问题,原因是出在操作系统上面,只有有些GHOST操作系统不能安装此驱动程序,问题就出在GHOST系统之间以及GHOST系统和正常安装系统之间存在什么区别,分析了几百个回合,最后终于发现问题的根本所在:GHOST为了实现快速安装操作系统,中间省掉了很多系统文件,经过分析,解决办法出炉:在注册表中加入以下项即可:<br /> <br /> <br />[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current
驱动程序层次结构、PIRP结构、IO_STACK_LOCATION结构
Iqian1314的专栏
06-03 4723
<br />一、驱动程序层次结构<br /> <br />在《Windows驱动开发详解》的第四章简单介绍了一下驱动程序的层次结构,但介绍得不清不楚,反复看了几遍,仍然是一分清楚,九分糊涂。为此,花了几个小时来查阅相关资料,最后分别参考《Windows驱动开发详解》和《Windows操作系统原理第2版》,才算有了个初步的认识。<br /> <br />要想详细解释驱动程序的层次结构,以我现在的水平可能还没那个能力,但或许能通过文字的形式让自己多一分认识。<br /> <br />1.再看DriverEntr
VMWare+Windbg双机调试终于成功!
Iqian1314的专栏
07-08 3413
<br />经历了几天的苦战,终于将VMWare+Windbg双机调试环境搭建起来并且开始运作,期间遇到了很多的问题,记录一些作为备案,以便以后遇到类似的问题可以参考,避免浪费不必要的时间。<br /> <br />主要的在前一篇中已说明<br /> <br />1、关于KdPrint的用法问题:如果在DbgView中没有KdPrint的输出信息,解决方法:在DbgView的DBGVIEW,勾上Capture Kernel,然后再安装驱动,应该能看到DriverEntry和AddDivice里的调试信息。<
完成I/O请求
Iqian1314的专栏
05-26 3264
完成I/O请求每个IRP都渴望被完成。在标准模型中,你至少有两种完成IRP的环境。DpcForIsr通常用于完成导致最近中断的IRP。派遣函数也可以在下面这两种情况下完成IRP: 如果请求是错误的(可以以容易的检测方式查明,例如要求打印机倒纸请求或卸载键盘请求),则派遣例程应以失败方式完成该请求并返回适当的出错代码。    如果请求要求得到的仅是派遣函数可以容易确定的信息(例如
公司6600板卡驱动环境搭建和调试
Iqian1314的专栏
07-05 1582
公司6600板卡驱动环境搭建和调试:由于重新装了系统,导致板卡驱动的编译调试环境没了,只有重新搭建环境。先装了XP系统,让人郁闷得是居然这个盘的XP系统无法识别鼠标,这还是第一次碰到,郁闷之极,没办法,重新找了一张光盘再装一次吧,这次还好,再装PC驱动。然后VC6.0+DDK,再在VC6.0中编译驱动程序,结果提示链接错误:LINK : fatal error LNK1146: no argument specified with option /"/libpath:/上网查原因,按照网上的方法,基本上都行
x64内核过滤驱动技术:Hook与分层策略
当过滤驱动处理完请求后,需要使用`IoSkipCurrentIrpStackLocation`来跳过当前的IRP堆栈,然后调用`IoCallDriver`将请求传递给下层驱动。 在处理IRP时,为了在请求完成后获取信息,需要注册请求完成的回调函数`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值