磁盘设备栈的设备传递

最新推荐文章于 2024-04-21 23:52:48 发布
最新推荐文章于 2024-04-21 23:52:48 发布
阅读量1.3k 收藏
点赞数
分类专栏: windows驱动开发

磁盘设备栈的设备传递

  (2013-01-09 11:22:11)
转载
标签: 

磁盘设备栈

 

分区设备

 

卷设备

 

drx

 

小端口设备

 

it

 分类: windows知识
理理清楚,主要是今天需要获取c盘对应的DRx设备。
文件访问的时候,关系到的设备栈如下:
ntfs device -> volume device -> partmgr device -> disk device -> port(mini-port) device

其中,文件系统设备到卷设备使用vpb;而分区设备到下面使用attach设备关系就可以找到。不过实际中,disk device到下层设备使用了extension+8,而不是attach关系设备。

剩下一个问题,卷设备如何传递到分区设备呢?

下个断点看到这样的栈:
1: kd> kb
ChildEBP RetAddr   Args to Child                    
97d47cf0 81a4ba7c 856827b0 85b0a7e0 85b0a7e0 CLASSPNP!ClassGlobalDispatch
97d47d0c 889e82ed 00000000 85682430 857acc04 nt!IofCallDriver+0x3f
97d47d3c 81a4ba7c 00682430 85b0a7e0 857accd8 partmgr!PmGlobalDispatch+0x2e8
97d47d58 82862120 00000000 857acc20 82e6f404 nt!IofCallDriver+0x3f
97d47d7c 81a4ba7c 857acc20 85b0a7e0 82e6f420 volmgr!VmReadWrite+0x11b
97d47d98 82e6bc98 85b0a7e0 f9bd6000 857ad0d8 nt!IofCallDriver+0x3f
97d47dac 82e6bd9c 857ad0d8 85b0a7e0 00000001 fvevol!FveRequestPassThrough+0x5e
97d47dc8 82e6bfa9 00000001 f9bd6000 00000000 fvevol!FveReadWrite+0x38
97d47df8 82e6c03e 00000001 97d47e20 81a4ba7c fvevol!FveFilterRundownReadWrit e+0x159
97d47e04 81a4ba7c 857ad020 85b0a7e0 000a0245 fvevol!FveFilterRundownWrite+0x48
97d47e20 82f1e740 85b0a7e0 00000000 00000003 nt!IofCallDriver+0x3f
97d47e94 82f1e86f 857add20 00000000 857adc68 rdyboost!SmdProcessReadWrite+0x73b
97d47ebc 81a4ba7c 857adc68 85b0a7e0 857ab0d8 rdyboost!SmdDispatchReadWrite+0x104
97d47ed8 82ed8782 00000000 857ab020 84a80004 nt!IofCallDriver+0x3f
97d47f0c 82ed84c6 85b0a7e0 97d47f34 81a4ba7c volsnap!VolsnapWriteFilter+0x277
97d47f18 81a4ba7c 857ab020 85b0a7e0 84a80040 volsnap!VolSnapWrite+0x19
97d47f34 88a2bc44 891872f8 97d47f54 81b0b3ba nt!IofCallDriver+0x3f
97d47f40 81b0b3ba 891873d4 ffffffff 81b317e8 Ntfs!NtfsStorageDriverCallout +0x14
97d47f40 81ac3150 891873d4 ffffffff 81b317e8 nt!KiSwitchKernelStackAndCa llout+0x9e
89187388 81ac2fcf 88a2bc30 891873d4 00003000 nt!KeExpandKernelStackAndCa lloutInternal+0x16b
891873a8 88a26bd0 88a2bc30 891873d4 00003000 nt!KeExpandKernelStackAndCa lloutEx+0x1f
89187400 88a260bf 00000001 857ab020 88a2bc8c Ntfs!NtfsMultipleAsync+0xb7
8918756c 88a21233 89187710 0001f000 00000000 Ntfs!NtfsNonCachedIo+0x2f7
89187708 88a22e3a 0150070a 00000000 00100801 Ntfs!NtfsCommonWrite+0xe00
891878dc 81a4ba7c 857d7018 85b0a7e0 85be7768 Ntfs!NtfsFsdWrite+0x187
891878f8 82a21a9f 85b0a7e0 857f5ba0 857f5ba0 nt!IofCallDriver+0x3f
89187934 82a217db 89187958 00000000 00000000 fltmgr!FltpLegacyProcessingAfte rPreCallbacksCompleted+0x24c
89187970 81a816be 857f5ba0 85b0a7e0 89187a80 fltmgr!FltpDispatch+0xc6
8918798c 81a81281 84a80274 00187a80 891879d4 nt!IoSynchronousPageWrite+0x1de

volmgr!VmReadWrite第一个参数就是卷设备:
1: kd> !object 857acc20
Object: 857acc20   Type: (84a8c040) Device
      ObjectHeader: 857acc08 (new version)
      HandleCount: 0   PointerCount: 10
      Directory Object: 83012600   Name: HarddiskVolume2

然后, VmReadWrite内部调用 IofCallDriver把irp传递给下层分区设备处理,分区设备是怎么找到的呢?看下ida这个函数的实现,咋调用 IofCallDriver的:

磁盘设备栈的设备传递

原来是通过卷设备的DeviceExtension+d0处找到下层分区设备的,这个disk到(小)端口设备很像,那个是+8:
1: kd> dt nt!_device_object 857acc20 
     +0x000 Type                   : 0n3
     +0x002 Size                   : 0x1c0
     +0x004 ReferenceCount    : 0n2751
     +0x008 DriverObject       : 0x85518428 _DRIVER_OBJECT
     +0x00c NextDevice          : 0x857afbf8 _DEVICE_OBJECT
     +0x010 AttachedDevice    : 0x857ad020 _DEVICE_OBJECT
     +0x014 CurrentIrp          : (null) 
     +0x018 Timer                  : (null) 
     +0x01c Flags                  : 0x1150
     +0x020 Characteristics   : 0x60000
     +0x024 Vpb                     : 0x85680740 _VPB
     +0x028 DeviceExtension   : 0x857accd8 Void
     +0x02c DeviceType          : 7
     +0x030 StackSize            : 5 ''
     +0x034 Queue                  :
     +0x05c AlignmentRequirement : 0
     +0x060 DeviceQueue         : _KDEVICE_QUEUE
     +0x074 Dpc                     : _KDPC
     +0x094 ActiveThreadCount : 0
     +0x098 SecurityDescriptor : 0x8319e430 Void
     +0x09c DeviceLock          : _KEVENT
     +0x0ac SectorSize          : 0x200
     +0x0ae Spare1                : 1
     +0x0b0 DeviceObjectExtension : 0x857acde0 _DEVOBJ_EXTENSION
     +0x0b4 Reserved             : (null) 
1: kd> dd 0x857accd8+d0 l1
857acda8   85682430
1: kd> !object 85682430
Object: 85682430   Type: (84a8c040) Device
      ObjectHeader: 85682418 (new version)
      HandleCount: 0   PointerCount: 5
1: kd> !devobj 85682430
Device object (85682430) is for:
   \Driver\partmgr DriverObject 85519320
Current Irp 00000000 RefCount 0 Type 00000007 Flags 00000010
Dacl 8c0d152c DevExt 856824e8 DevObjExt 85682740 
ExtensionFlags (0x00000800)  
                                            Unknown flags 0x00000800
AttachedTo (Lower) 856827b0 \Driver\disk
Device queue is not busy.
1: kd> !devstack 85682430
   !DevObj    !DrvObj                  !DevExt    ObjectName
> 85682430   \Driver\partmgr      856824e8  
   856827b0   \Driver\disk          85682868   DR0
   8552f030   \Driver\LSI_SAS      8552f0e8   0000002d
!DevNode 8554adc0 :
   DeviceInst is "SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S\5&1982005&0&000000"
   ServiceName is "disk"

现在,怎么传递已经清楚了。那么,系统是如何获取卷设备下层的分区设备并填充在卷设备的扩展中的呢?
 
TODO
chenchong_219
关注
专栏目录
U-Boot 之一 源码文件、启动阶段(TPL、SPL)、FALCON、设备
技术干货
01-16 6001
现在,U-Boot 已经成为了是嵌入式设备首选的用于包装指令以引导设备操作系统内核的启动加载程序,并且是基于 GPL 协议开源的,项目地址:https://source.denx.de/u-boot。它可用于许多计算机架构,包括 68k,ARM,Blackfin,MicroBlaze,MIPS,Nios,SuperH,PPC,RISC-V 和 x86。.........
学习windows驱动(设备对象设备)
mofabang的专栏
10-28 2289
IO相关的操作是围绕设备对象进行的。设备对象分下几类:1、功能设备对象(FDO): 功能驱动为设备创建一个FDO,在设备里它位于物理设备(PDO)的上层。2、物理设备对象(PDO): 总线驱动创建PDO,逻辑上代表物理设备本身,功能设备对象(FDO)代表系统对这个PDO做的处理。FDO为什么会被总线驱动创建?是因为FDO代表的物理设备连接到此总线设备上,总线驱动起了承担总线设备的功能驱动作用。3.
驱动对象 设备对象 设备 乱杂谈
jiurl的专栏
12-15 5701
驱动对象 设备对象 设备 乱杂谈作者: JIURL                 主页: http://jiurl.yeah.net         用有限的几句话就舒舒服服的建立起对驱动对象和设备对象的概念是不可能的。刚开始是一片模糊,了解的多了,慢慢就清楚。下面的内容会使你对
设备
ruanben的专栏
02-22 1036
结构底挂接 device移除 device 1. 结构 设备(Device Stack)结构与内存中的类似,但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。 如下图所示: 并且由每个 device 的 DeviceExtension.AttachedTo 值指向下一层的 device。从而形成
Windows磁盘过滤驱动详解:设备与类过滤机制及应用
在Windows中,磁盘过滤驱动的应用涉及到设备的层级管理,IRP(I/O请求包)会首先传递设备顶部的设备,过滤驱动在此处可以拦截并处理。这种技术允许在设备加入系统时自动进行绑定,区分上层过滤和下层过滤,...
Windows设备驱动程序设计概述.pptx
11-21
根据INF文件的指示,PnP管理器会逐级加载驱动程序,最终形成设备对象。驱动程序在接收到I/O请求包(IRP)后,可以选择自己处理,或者将IRP传递给下一层驱动程序,直到IRP完成并返回信息。 总的来说,Windows设备...
理解Windows内核的设备与驱动模型
外核是一些驻留在内核空间的服务组件,如文件系统、网络协议等;微外核是一种在用户空间运行的内核模块,可以提供更高层次的功能,如图形界面、设备驱动等。 ## 1.2 Windows内核的设备管理机制 Windows内核通过...
ctrl2cap.rar_ctrl2cap_磁盘过滤_磁盘过滤驱动_过滤驱动
09-20
磁盘过滤驱动位于系统驱动的中间层,介于用户应用程序和硬件设备之间。当用户程序发起磁盘读写请求时,这些请求会通过系统驱动层层传递磁盘过滤驱动便有机会在数据到达硬件之前或返回到用户空间之前进行处理。...
白话设备 windows内核
12-31
windows内核 设备 deviceObjectStack sfilter windbg截取最简单的附加设备历程,实时分析地址 让你对设备一目了然
遍历设备
qq_41490873的博客
07-31 273
查找设备名 内核对象地址-0x18 为OBJECT_HEADER的地址 kd> dt _OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void +0x008 Type : Ptr32 _OBJECT_TYPE +0x00c NameInfoOffset : UChar
关于设备,IO,IO_STACK_LOCATION----文件系统过滤驱动学习收获
zwb139615210的博客
08-17 1685
我对于我在学习中遇到的问题和困惑做一下阐述,以前看书的时候,经常看到关于:下层设备,IRP转发到下层,设备,IO堆,IO_STACK_LOCATION之类的概念,我都是看得迷迷糊糊,没有一个清晰的概念,实际上并不是书中讲得不清晰,而是这些知识是统一、相辅相成的,而单个知识点又比较零碎,所以新手听起来都有种似懂非懂,若即若离的感觉,通过文件系统过滤驱动的学习,我对这些概念有了相对清晰的理解。首先是整个驱动设备的框架,如图: 因为之前对于设备的理解不清楚,所以对于IRP的处理,IRP的传递,各个
windows驱动开发-设备
最新发布
苏洛的博客
04-21 901
设备
【常用脚本记录3 -- 磁盘读写脚本】
weixin_30267785的博客
07-03 191
1.往磁盘内写入东西后再擦掉再写入 #!/bin/sh rm /mnt/mmcblk0p1/ddtest 'dev下面的mmcblk0p1的设备,mnt下面的mmcblk0p1是个目录,才可以读写 mytime=1 while [ 1 ] do echo "===NO."$mytime" TEST===" time dd if=/dev/zero of=/mnt/...
驱动程序设备、IRP
cshcmqcsh的专栏
05-28 1681
    首先建交驱动分层的概念。一个物理设备的驱动(不限于物理设备),通常由几个驱动程序分层的共同完成。每层一个设备对象,他们联系在一起,组成一个设备。当然,每层的设备对应一个驱动程序,也组成一个驱动程序。二者是平行联系的关系。一个设备上的设备对象,从上自下,联系在一起。从下自上,也联系在一起。     设备上的设备对象,从上自下,通过 DEVICE_OBJECT 的 DEVOBJ_EXTENSION 的 +18 struct _DEVICE_OBJECT .AttachedTo 联系在一起。  
windows内核编程 白话设备
sqqsongqiqi的专栏
12-31 910
在ntddk.h中定义了该函数原型:   #if (NTDDI_VERSION >= NTDDI_WINXP) NTKERNELAPI NTSTATUS IoAttachDeviceToDeviceStackSafe(     __in  PDEVICE_OBJECT SourceDevice,     __in  PDEVICE_OBJECT TargetDevice,
驱动开发之五 --- TDI之十一 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 1235
驱动开发之五 --- TDI之十一 【译文】 处理和完成 在这里你简单的按步处理请求和完成它。如果你没有返回STATUS_PENDING,那是最好的。在前面多数的例子中,我们就是这样处理所有的驱动请求的。我们处理他们,当我们做完时,我们简单的调用IoCompleteRequest。 创建IRP 在前面的文章中,对于如何创建和发送IRP有简短的描述。我们会再详
vscode win10笔记本 蓝屏_win10 最近突然频繁蓝屏
weixin_39944595的博客
12-20 1490
蓝屏错误:A critical system process diedProbably caused by : ntdll.dll ( ntdll!RtlLookupFunctionEntry+11a )PROCESS_NAME: svchost.exeCRITICAL_PROCESS: svchost.exeEXCEPTION_CODE: (Win32) 0x2931b080 (691122...
Linux设备驱动程序编写指南
设备号用来识别驱动程序,不同的设备使用不同的驱动程序,而从设备号则用于区分同一驱动程序下不同的物理设备,例如多个硬盘或磁盘分区。 在Linux中,设备驱动程序的开发涉及到内核编程,这需要对内核API、中断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值