64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO

于 2023-06-13 23:05:05 发布
阅读量614 收藏 2
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发 mfc c++ windows 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131197469
版权

64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO

提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加
例如:第一章 64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO

提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录


64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO

一、64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO

MFC读写代码
这边用了两个按钮
具体实现步骤如下:
第一步:在用户层(MFC工程项目里)选“资源视图”,在对话框里双击“IRP_MJ_READ”按钮和IRP_MJ_WRITE按钮,在里面添加如下代码:

void CD00910MFCDlg::OnBnClickedButton1IrpMjWrite()
{
	// TODO: 在此添加控件通知处理程序代码
	char 输入缓冲区[] = "yjx:R3 WriteFile写测试";
	DWORD len = 0;//返回实际写如字节集数量
	BOOL ret = WriteFile(DeviceHandle, 输入缓冲区, sizeof(输入缓冲区), &len, 0);
}


void CD00910MFCDlg::OnBnClickedButton1IrpMjRead()
{
	// TODO: 在此添加控件通知处理程序代码
	char 输出缓冲区[512] = { 0 };
	DWORD len = 0;//返回实际写如字节集数量
	BOOL ret = ReadFile(DeviceHandle, 输出缓冲区, sizeof(输出缓冲区), &len/*返回实际读取大小*/, 0);
	char buf[256];
	sprintf_s(buf, "ret=%d 输入缓冲区=%s,len=%d yjx", ret, 输出缓冲区,len);
	OutputDebugStringA(buf);
}

在这里插入图片描述

二、驱动读写代码

第二步:在驱动层写相应的操作代码,这里我们可以把读写取数据的代码单独写到一个函数里,代码如下:

	//READ WRITE
	DriverObject->MajorFunction[IRP_MJ_READ] = IRP_CALL;   //ReadFile ReadFileEx
	DriverObject->MajorFunction[IRP_MJ_WRITE] = IRP_CALL;   //WriteFile NtWriteFile ZwWriteFile

完整代码

	//加载驱动时被调用
NTSTATUS
DriverEntry(
	_In_ PDRIVER_OBJECT DriverObject,
	_In_ PUNICODE_STRING RegistryPath
)
{
	RegistryPath;

	DriverObject->DriverUnload = DriverUnload;//注册卸载例程-回调函数
	DriverObject->MajorFunction[IRP_MJ_CREATE] = IRP_CALL;
	DriverObject->MajorFunction[IRP_MJ_CLOSE] = IRP_CALL;
	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = IRP_CALL;
	
	//READ WRITE
	DriverObject->MajorFunction[IRP_MJ_READ] = IRP_CALL;   //ReadFile ReadFileEx
	DriverObject->MajorFunction[IRP_MJ_WRITE] = IRP_CALL;   //WriteFile NtWriteFile ZwWriteFile
	CreateDevice(DriverObject);//创建驱动设备

	KdPrint(("yjx:进入DriverEntry入口点 DriverObject=%p 行号=%d\n", DriverObject, __LINE__));//Debug
	//KdPrint(("yjx:RegistryPath=%s\n, RegistryPath->Buffer"));//多字节字符集
	KdPrint(("yjx:RegistryPath=%ws\n", RegistryPath->Buffer));//Unicode 宽字符
	return 0;//返回成功
}ZwWriteFile

在这里插入图片描述

2.然后在 IRP_CALL函数里直接调用,这里为了不影响上一节课的写入功能,加了case IRP_MJ_READ: case IRP_MJ_WRITE: 。代码如下:

代码如下(示例):

	case IRP_MJ_READ:
	{
		char* 指针1 = (char*)pirp->AssociatedIrp.SystemBuffer;//和IRP有关的系统缓冲区
		char* 指针2 = (char*)pirp->MdlAddress;//和IRP有关的系统缓冲区
		char* 指针3 = (char*)pirp->UserBuffer;//和IRP有关的系统缓冲区

		KdPrint(("yjx:SYS IRP_MJ_READ (%p,%p,%p)", 指针1, 指针2, 指针3));
		char 返回字符串[] = "SYS IRP_MJ_READ返回的字符串";
		ULONG 长度 = sizeof(返回字符串);
		if (指针3 && irpStackL->Parameters.Read.Length >= 长度)
		{
			//irpStackL->Parameters.Read.Length;
			irpStackL->Parameters.Read.Length;
			RtlCopyMemory(指针3, 返回字符串, 长度);
		}
		pirp->IoStatus.Status = STATUS_SUCCESS;
		pirp->IoStatus.Information = 长度;//strlen//对应ReadFile 第4个参数 len
		IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作,并且不增加优先级
		KdPrint(("yjx:IRP_MJ_READ 离开派遣函数"));
		return STATUS_SUCCESS;//返回0,表示成功

		break;
	}
	case IRP_MJ_WRITE://DevieIoControl  输入数据
	{
		char* 指针1 = (char*)pirp->AssociatedIrp.SystemBuffer;//和IRP有关的系统缓冲区
		char* 指针2 = (char*)pirp->MdlAddress;//和IRP有关的系统缓冲区
		char* 指针3 = (char*)pirp->UserBuffer;//和IRP有关的系统缓冲区

		KdPrint(("yjx:SYS IRP_MJ_WRITE (%p,%p,%p)", 指针1, 指针2, 指针3));
		KdPrint(("yjx:SYS IRP_MJ_WRITE (%s,%s,%s)", 指针1, 指针2, 指针3));
		break;
	}
	}
	pirp->IoStatus.Status = STATUS_SUCCESS;
	pirp->IoStatus.Information = 4;//返回给DeviceIoControl中的倒数第二个参数lpBytesReturned
	IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作,并且不增加优先级
	KdPrint(("yjx:离开派遣函数"));
	return STATUS_SUCCESS;//返回0,表示成功

在这里插入图片描述

完整代码

NTSTATUS IRP_CALL(PDEVICE_OBJECT device, PIRP pirp)
{
	device;

	KdPrint(("yjx:进入派遣函数"));
	PIO_STACK_LOCATION irpStackL;

	irpStackL = IoGetCurrentIrpStackLocation(pirp);//获取应用层传来的参数

	switch (irpStackL->MajorFunction)
	{
	case IRP_MJ_DEVICE_CONTROL://DeviceIoControl
	{
		UINT32 控制码 = irpStackL->Parameters.DeviceIoControl.IoControlCode;

		if (控制码 == 读测试)
		{
			IRP_IO_读测试(pirp);
			return STATUS_SUCCESS;
		}
		else if (控制码 == 写测试)
		{
			char* 缓冲区 = (char*)pirp->AssociatedIrp.SystemBuffer;//和IRP有关的系统缓冲区
			KdPrint(("R0 yjx:用户层调用了DeviceIoControl  控制码=%X", 控制码));
			KdPrint(("R0 yjx:用户层调用了DeviceIoControl  控制码=%X 缓冲区=%s", 控制码, 缓冲区));
		}
		else if (控制码 == 读写测试)
		{
			IRP_IO_读写测试(pirp);
			return STATUS_SUCCESS;
		}
		break;
	}
	case IRP_MJ_CREATE://CreateFile
	{
		KdPrint(("yjx:用户层调用了CreateFile"));
		break;
	}
	case IRP_MJ_CLOSE://CloseHandle
	{
		KdPrint(("yjx:用户层调用了CloseHandle"));
		break;
	}
	case IRP_MJ_READ:
	{
		char* 指针1 = (char*)pirp->AssociatedIrp.SystemBuffer;//和IRP有关的系统缓冲区
		char* 指针2 = (char*)pirp->MdlAddress;//和IRP有关的系统缓冲区
		char* 指针3 = (char*)pirp->UserBuffer;//和IRP有关的系统缓冲区

		KdPrint(("yjx:SYS IRP_MJ_READ (%p,%p,%p)", 指针1, 指针2, 指针3));
		char 返回字符串[] = "SYS IRP_MJ_READ返回的字符串";
		ULONG 长度 = sizeof(返回字符串);
		if (指针3 && irpStackL->Parameters.Read.Length >= 长度)
		{
			//irpStackL->Parameters.Read.Length;
			irpStackL->Parameters.Read.Length;
			RtlCopyMemory(指针3, 返回字符串, 长度);
		}
		pirp->IoStatus.Status = STATUS_SUCCESS;
		pirp->IoStatus.Information = 长度;//strlen//对应ReadFile 第4个参数 len
		IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作,并且不增加优先级
		KdPrint(("yjx:IRP_MJ_READ 离开派遣函数"));
		return STATUS_SUCCESS;//返回0,表示成功

		break;
	}
	case IRP_MJ_WRITE://DevieIoControl  输入数据
	{
		char* 指针1 = (char*)pirp->AssociatedIrp.SystemBuffer;//和IRP有关的系统缓冲区
		char* 指针2 = (char*)pirp->MdlAddress;//和IRP有关的系统缓冲区
		char* 指针3 = (char*)pirp->UserBuffer;//和IRP有关的系统缓冲区

		KdPrint(("yjx:SYS IRP_MJ_WRITE (%p,%p,%p)", 指针1, 指针2, 指针3));
		KdPrint(("yjx:SYS IRP_MJ_WRITE (%s,%s,%s)", 指针1, 指针2, 指针3));
		break;
	}
	}
	pirp->IoStatus.Status = STATUS_SUCCESS;
	pirp->IoStatus.Information = 4;//返回给DeviceIoControl中的倒数第二个参数lpBytesReturned
	IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作,并且不增加优先级
	KdPrint(("yjx:离开派遣函数"));
	return STATUS_SUCCESS;//返回0,表示成功
}

##3.虚拟机调试结果

在这里插入图片描述

总结

提示:这里对文章进行总结:

以上就是今天要讲的内容。

a756598009
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
驱动开发:内核物理内存寻址读写
Gefangenes的博客
06-30 1080
这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。需要注意的是,该代码并没有进行有效性检查,如没有检查读取的地址是否合法、读取的数据是否在用户空间,因此存在潜在的风险。需要注意的是,该函数还会进行一些错误处理,例如在读取页表项时,如果该项没有被设置为有效,函数将返回0,表示无法访问对应的物理地址。字段包含了进程的页表树的根节点的物理地址,通过它可以找到进程的页表树,从而实现虚拟内存的管理。
驱动学习---IRP_MJ_READIRP_MJ_WRITE
最新发布
weixin_41693985的博客
06-09 134
【代码】驱动学习---IRP_MJ_READIRP_MJ_WRITE
IRP的超时处理
125096
08-06 627
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDK"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
I/O Request Packet
zhuo_zhibin的专栏
09-14 5866
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
驱动开发:内核文件读写系列函数
热门推荐
CSDN
06-09 1万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。 首先无论在内核态还是在用户态,我们调用的文件操作函数其最终都会转换为一个IRP请求,并发送到文件系统驱动上的`IRP_MJ_READ`派遣函数里面,这
易语言x64驱动读写(可读写有保护游戏内存数据)-稳定
hzw320的博客
02-12 1万+
现在市场上一个可以读取 有保护的游戏的驱动读写插件,价格在1000元/每月 为了帮助独立团论坛的用户节省金钱,我们开发了这款易语言模块。 这次的驱动读写可以读写测试了TX很多个游戏(CF,逆战,LOL,DNF)的内存数据, 大家都知道Tx的游戏是都有TP保护的 一般的内存读写方式都不能读写数据, 而我们这款可以轻松读写数据不被检测, 下面是功能的演示视频: CF测试: 在各系统中进行驱动保护的教程 (监视进程阻止启动,暂停,注入,保护进程不被结束,内存无..
驱动源码.rar_易语言驱动_读写驱动_驱动源码_驱动读写 源码_驱动读写源吗
07-14
"读写驱动"是驱动程序的一种类型,主要功能是处理设备的输入/输出操作。这种驱动通常涉及到磁盘、内存、网络等硬件设备的数据读取和写入。在64位环境下,由于系统架构和内存管理的不同,驱动程序需要特别设计以适应...
vc.rar_内存 读写_内存 驱动_驱动级 内存_驱动读写_驱动读写内存
09-22
内存管理和驱动程序编程是计算机科学中的重要领域,尤其是在操作系统和系统级编程中。"vc.rar_内存 读写_内存 驱动_驱动级 内存_驱动读写_驱动读写内存"这个压缩包内容似乎是关于使用C++(VC++)进行驱动级内存读写...
wdm1.rar_Windows 驱动程序开发_wdm1_wdm设备驱动程序开发_windows_驱动程序开发指南
09-14
Windows WDM 设备驱动程序开发指南》是针对Windows操作系统下设备驱动程序开发的重要参考资料,尤其对于想要深入理解Windows Driver Model (WDM)的开发者来说,具有极高的学习价值。WDM是Windows 98及之后版本操作...
USB.zip_USB 驱动 开发_usb 驱动_usb开发_驱动开发
09-19
7. **中断请求块(IRP)和I/O请求包(IOCTL)**:在Windows驱动开发中,IRP用于异步处理I/O请求,IOCTL用于设备控制命令。 8. **调试工具**:如Windows的USBView、WinDbg,Linux的usbmon、dmesg等,用于检查USB设备...
x64内存读写驱动
03-27
可过tp读写大部分tp游戏
驱动通信读写等等一个模块
03-17
通信读写驱动
Windows_7设备驱动程序开发_window设备程序开发_windows驱动开发_
10-03
Windows 7设备驱动程序开发》是一本专为IT专业人士准备的指南,旨在深入解析Windows 7环境下设备驱动程序的设计与实现。驱动程序是操作系统与硬件设备之间的桥梁,它们负责解释来自操作系统的指令并控制硬件执行...
串口过滤
svtanto的专栏
11-01 1089
 /* 描述 : 串口过滤 */#include // 过滤设备的设备扩展typedef struct _COM_FILTER_DEV_EXT { // 串口号 USHORT ComId; // 设备栈上位于过滤设备下一层的设备对象,卸载过滤设备时用 PDEVICE_OBJECT LowerDeviceObject;} COM_FILTER_DEV_EXT,
41、过滤驱动程序
weixin_33835690的博客
12-13 143
    过滤驱动程序可以修改已有驱动的功能,也可以对数据进行过滤加密。WDM驱动需要通过注册表记录指定加裁的过滤驱动,OS会读取这些值完成加载,其可以是高层过滤,也可以是低层过滤。而NT较为灵活,不用设置注册表,直接在内存中寻找设备对象,然后自行创建过滤驱动并将自己附加在这个驱动之上。     过滤驱动的入口函数需要将所有的IRP都设置派遣例程,因为过滤驱动要保证所有上层传递下来的IRP都能...
2023驱动保护学习 -- 应用层与驱动读写操作(二)
weixin_41489908的博客
03-22 145
二、在MFC程序中添加一个按钮,实现MJ读写操作。一、在驱动程序的主函数里面注册读写函数。三、在驱动程序里面实现MJ读写操作。
内核安全编程(一)读写驱动程序1.1
Debug Hacker
11-13 1420
内核安全编程(一)读写驱动程序 读写驱动程序,即应用程序或者上层驱动程序发送主功能码为IRP_MJ_READIRP_MJ_WRITEIO请求包(IRP) DriverEntry函数如下: NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { UNICODE_S
IRP_MJ_WRITE
03-08
IRP_MJ_WRITEWindows内核中的一个I/O请求主要函数码,用于处理写入操作。当应用程序或驱动程序需要向设备或文件写入数据时,会发起一个IRP_MJ_WRITE请求。 IRP_MJ_WRITE的处理过程通常包括以下几个步骤: 1. 应用程序或驱动程序发起IRP_MJ_WRITE请求。 2. 内核将该请求传递给相应的设备驱动程序。 3. 设备驱动程序根据请求中的参数,将数据写入到设备或文件中。 4. 写入操作完成后,设备驱动程序IRP_MJ_WRITE请求返回给内核。 5. 内核将请求的状态和结果返回给应用程序或驱动程序IRP_MJ_WRITE是I/O请求的一部分,用于实现数据的写入操作。它在驱动程序开发和系统调试中非常重要,可以用于实现各种设备的数据写入功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值