IRP的创建

最新推荐文章于 2021-04-15 17:55:43 发布
最新推荐文章于 2021-04-15 17:55:43 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 逆向调试相关 文章标签: 任务 io buffer c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalixux/article/details/3556904
版权
本文探讨了在驱动程序开发中,IoBuildSynchronousFsdRequest和IoBuildAsynchronousFsdRequest创建的同步异步IRP之间的区别。尽管同步IRP在内部调用了异步IRP的创建函数,主要区别在于同步IRP与线程的关联。同步IRP填充了IRP的UserEvent域,而在编写驱动时,有时也需要手动填充这个域以跟踪异步IRP的完成。文章通过代码分析解释了IRP的分配、缓冲区处理以及不同MajorFunction的处理方式。
摘要由CSDN通过智能技术生成
  1. 自己在编写驱动程序的时候 遇到一些疑问: IoBuildSynchronousFsdRequest 和IoBuildAsynchronousFsdRequest之间创建的同步异步IRP有什么区别?
  2. 为什么这两个函数只能创建几种IRP?调用IoAllocateIrp后 初始化IRP时哪些域是要填充的  哪些是不要填充的?
  3. 偏偏书上讲的都很模糊  驱动新手  一切只能自己动手。
  4. 先来看下 IoBuildSynchronousFsdRequest
  6. .text:004191D6 _IoBuildSynchronousFsdRequest@28 proc near
  7. .text:004191D6                                         ; CODE XREF: HalExamineMBR(x,x,x,x)+70p
  8. .text:004191D6                                         ; IopShutdownBaseFileSystems(x)+7Ap ...
  9. .text:004191D6
  10. .text:004191D6 MajorFunction   = dword ptr  8
  11. .text:004191D6 DeviceObject    = dword ptr  0Ch
  12. .text:004191D6 Buffer          = dword ptr  10h
  13. .text:004191D6 Length          = dword ptr  14h
  14. .text:004191D6 StartingOffset  = dword ptr  18h
  15. .text:004191D6 Event           = dword ptr  1Ch
  16. .text:004191D6 IoStatusBlock   = dword ptr  20h
  17. .text:004191D6
  18. .text:004191D6                 mov     edi, edi
  19. .text:004191D8                 push    ebp
  20. .text:004191D9                 mov     ebp, esp
  21. .text:004191DB                 push    edi
  22. .text:004191DC                 push    [ebp+IoStatusBlock] ; IoStatusBlock
  23. .text:004191DF                 push    [ebp+StartingOffset] ; StartingOffset
  24. .text:004191E2                 push    [ebp+Length]    ; Length
  25. .text:004191E5                 push    [ebp+Buffer]    ; Buffer
  26. .text:004191E8                 push    [ebp+DeviceObject] ; DeviceObject
  27. .text:004191EB                 push    [ebp+MajorFunction] ; MajorFunction
  28. .text:004191EE                 call    _IoBuildAsynchronousFsdRequest@24 ; 创建同步IRP  实质上还是创建异步IRP
  29. .text:004191F3                 mov     edi, eax        ; pIrp送EDI 检验IRP是否创建成功
  30. .text:004191F5                 test    edi, edi        ; pIrp
  31. .text:004191F7                 jz      short loc_41922D
  32. .text:004191F9                 mov     eax, [ebp+Event] ; event
  33. .text:004191FC                 push    ebx
  34. .text:004191FD                 push    esi
  35. .text:004191FE                 mov     cl, 1
  36. .text:00419200                 mov     [edi+2Ch], eax  ; pIrp->UserEvent = event
  37. .text:00419203                 call    ds:__imp_@KfRaiseIrql@4 ; movzx   edx,cl
  38. .text:00419203                                         ; movzx   ecx,byte ptr [edx-7F92EDA8h]
  39. .text:00419203                                         ; mov     eax,dword ptr ds:[FFFE0080h];TPR寄存器中当前任务优先级送eax
  40. .text:00419203                                         ; mov     dword ptr ds:[0FFFE0080h],ecx;装入新的任务优先级
  41. .text:00419203                                         ; shr     eax,4;任务优先级/16
  42. .text:00419203                                         ; movzx   eax,byte ptr [eax-7F923F78h]返回优先级
  43. .text:00419203                                         ; ret 中断级和任务优先级的换算 还要依靠806D1258和806DC088这两个地方的表或者结构
  44. .text:00419203                                         ; 对任务优先级不甚明白  以后有时间再仔细看看
  45. .text:00419203                                         ;
  46. .text:00419209                 mov     edx, [edi+50h]  ; pIrp->Tail.overlay.Thread
  47. .text:00419209                                         ; edx值为ETHREAD的指针
  48. .text:0041920C                 add     edx, 210h       ; &ETHREAD.IrpList
  49. .text:0041920C                                         ; edx值为ETHREAD.IrpList的指针
最低0.47元/天 解锁文章
dalixux
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
异步IRP例子
11-26
一个WDM驱动,使用异步IRP。caller通过异步方式打开驱动设备,然后使用WaitForSingleObject查看驱动是否已经完成请求。
操作系统IR,SP,PC,PSW,SR基础理解
最新发布
Ulica1024的博客
09-19 5467
指令通常分为。
伪指令IRPIRPC
LiYuan199118的博客
01-08 1264
伪指令IRPIRPC伪指令IRP 伪指令IRP的作用是用每个参数创建一组语句,其重复次数由伪指令后面参数表中参数的个数来确定。其一般使用格式如下: IRP形式参数, <实参1, 实参2, ……, 实参n> 重复的语句组 ENDM 例9.11 把16位通用寄存器之值相加,并把结果存入寄存器AX。 解:由于16位通用寄存器名是一些不同的符号,不能用计数的方法来依次访问它们,所以,我们需要用
标志寄存器-转
dunkall的专栏
12-11 618
只是简单的说明了下标志寄存器的各个标志位,有点简陋,以后会尽量的再完善(前提看到好的东西的时候)标志寄存器是16位特殊寄存器(flag)其0.2.4.6.7.8.9.10.11分别为CF.PF.AF.ZF.SF.TF.IF.DF.OF,空位没对CPU没有意义一.  ZF标志 在第6位,叫零位标志位,如果CPU运算后,结果为0,则ZF=1,结果不为0,则ZF=0如:mov ax,2   sub
有关TI DSP的一些东西(整理一些网络资源及手册资料)--外设寄存器和CPU控制寄存器、数据类型、中断的使用
彬彬有礼的专栏
07-29 9983
题目:有关TI DSP的一些东西(整理一些网络资源及手册资料)--外设寄存器和CPU控制寄存器、数据类型、中断的使用 =================================================================== IER 和 IFR 你知道如何去定义吗? IER和IFR在并没有定义地址,因为它是CPU是CPU寄存器,只有存储器才会有明确的地址。
IRP.zip_IRP
09-22
2. 这些API会创建一个IRP,并将其放入一个I/O队列。 3. I/O管理器将IRP传递给设备驱动程序链中的下一个驱动程序(通常是总线驱动程序)。 4. 驱动程序完成I/O操作后,更新IRPIoStatus并可能调用...
IRPs.rar_IRP
09-20
1. **创建IRP**:当用户模式的应用程序发起I/O请求时,系统会创建一个IRP,并填充相关参数。 2. **传递IRP**:IRP通过调用IoCallDriver函数逐级传递给驱动程序链。每个驱动程序处理其部分任务,然后将IRP传递给下一...
CodeIgniter-irp:创建,读取数据
03-26
它的目标是通过提供一组用于执行常见任务的库以及一个简单的界面和逻辑结构来访问这些库,从而使您比从头开始编写代码时更快地开发项目。 CodeIgniter使您可以最大限度地减少给定任务所需的代码量,从而创造性地...
IRP.rar_IRP_Windows内核
09-20
在Windows内核中,每当一个进程请求读取、写入文件或执行其他I/O操作时,系统会创建一个IRPIRP包含了诸如文件句柄、操作类型、缓冲区地址和大小等关键信息。这些信息随后由系统I/O管理器分发到相关的驱动程序链中...
DSP 中断寄存器
03-02 4489
1.PC是用来指示下一条要执行的指令的,即存放的是下一条要执行的指令的地址。几乎所有的MCU都不允许MOV指令修改PC值,这是一个常识。2.中断服务表指针寄存器ISTP(interrupt servicetable pointer)用于确定中断服务程序在中断服务表中的地址。ISTP中的字段ISTB确定IST的地址的基值,另一字段HPEINT确定特定的中断,并给出这一特定中断取指包在IST中
读wrk系列 关于IRP(1)
Returns' Station
09-06 2509
NtReadFile为例,   1.      建立irp PIRP IopAllocateIrpPrivate( IN CCHAR StackSize, IN BOOLEAN ChargeQuota ) //如果大小小于IopLargeIrpStackLocations,那么从prcb->PPLookasideList[number].P;这个快查表里面拿一个,如
6713中断寄存器配置及存储映射
想做一条贪吃蛇
09-06 9721
介绍6713中断寄存器配置和存储器映射
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 832
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
【个人理解】探究MDL
tbwork
03-20 3780
     以下的虚拟内存可以理解成逻辑内存,因为我觉得只有这样才能讲通下面所有的东西。以下的“未分页”指没有为页进行编码。以下为MDL结构体(我很郁闷,我在MSDN上没有找到这个结构体)typedef struct _MDL {   struct _MDL *Next;   //下一个MDL   CSHORT Size;       //大小   CSHORT MdlFlags;  //标志,
windows内核开发学习笔记十七:IRPIO_STACK_LOCATION 的交互
jyl_sh的专栏
04-15 1843
windows内核开发学习笔记十七:IRPIO_STACK_LOCATION 的交互 前面两篇学习笔记分别介绍了IRPIO_STACK_LOCATION,整个设备栈来处理这个IRP,但是每个设备都应该有自己的参数信息,这个参数信息就是通过IO_STACK_LOCATION 来保管的,那么IRP是怎么保管IO_STACK_LOCATION的呢?本文我们来分析一下IRPIO_STACK_LOCATION交互作用的整个流程。 I/O manager ---> ...
IRP深度解析:驱动开发的关键
"IRP详细介绍——驱动开发的关键概念" 在微软的Windows操作系统中,I/O请求包(IRP,I/o Request Packets)是驱动程序...通过熟练掌握IRP的使用,开发者可以创建高效、可靠的驱动程序,以满足系统对设备交互的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值