内核理论基础 || Windows R3与R0通信

最新推荐文章于 2024-09-04 13:28:30 发布
最新推荐文章于 2024-09-04 13:28:30 发布
阅读量2.2k 收藏 4
点赞数 2
分类专栏: windows基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darcy_123/article/details/104776474
版权

Windows 分为应用层与内核层。它们之间是如何进行通信的呢?

    内核主要由各种驱动(在磁盘上是.sys文件)组成,这些驱动有的是windows系统自带的(例如ntfs.sys、tcpip.sys、win32k.sys),有的是由第三方软件厂商提供的。驱动加载之后,会生成对应的设备对象,并可以选择向R3提供一个可供访问和打开的符号链接。常见的盘符C、D、E等其实都是文件系统驱动创建的设备对象的符号链接,对应的符号链接分别是 “\??\C:\”  “\??\D:\”  “\??\E:\”等。

      应用程序可以根据内核驱动的符号链接名调用CreateFile()函数打开。在获得一个句柄(handle)之后,程序就可以调用应用层函数与内核驱动进行通信了,例如ReadFile()、WriteFile()及DeviceIoControl()等。

      内核函数一旦执行了DriverEntry()入口函数,就可以接收R3层的通信请求了。在内核驱动中专门有一组分发派遣函数用来分别响应应用层的调用请求,如图7.9所示。每一个应用层负责I/O的API都对应与一个内核中的分发派遣函数,例如CreateFile()对应于DispatchCreate()。API被调用之后,传递给API的数据和命令就会通过IRP直接传递给对应的驱动分发派遣函数来处理。当驱动分发派遣函数处理完这个IRP请求之后,驱动可以结束(或允许,或阻止)这个IRP,或者把这个IRP发给下层驱动继续处理。

                 

何为IRP ?

       IRP的全名是I/O Request Package,即输入输出请求包,它是Windows内核中一种非常重要的数据结构。上层应用程序与底层驱动程序通信时,应用程序会发出I/O请求,操作系统将相应的I/O请求转换成相应的IRP, 不同的IRP会根据类型被分派到不同的派遣例程中进行处理。

      通俗来讲,在R3向R0通信过程中,应用层的命令和数据会被系统的I/O管理器封装在一个叫作IRP的结构中。

附图两张:

风是我的偶像
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Windows 驱动开发] MDL 共享内存,实现 r0r3 通信
墨鱼菜鸡
08-31 283
背景 默认情况下,进程内存有一半为内核所有,一半为进程本身所有。但是因为 r3 的进程在不断的切换,所以不能在 r0 直接分配一个低位的内存(你不知道现在正在哪个进程的高位中)。 当然,使用 KeStackAttach...
驱动入门 R3R0通信
qq_41071646的博客
10-27 1641
 哇 这一段时间是很自闭的 主要的原因还是因为我们老师还有学长给我了一道Linux逆向题 我死活都不会做。。。凉凉   然后 我就继续学习驱动了 然后根据一些学习资料 写了一下驱动程序与应用层的程序的通信 大概就是缓冲区的方法  然后 因为虚拟机里面没有安装vs 我就用codeblocks写的 但是发现 报错了 后来百度了一下 发现定义了一下 UNCODE就可以了  然后就成了  R0代码:...
windows驱动开发第12课(R3R0通信之写入数据)
weixin_42655748的博客
12-09 1125
R3R0通信之向驱动层写入数据
驱动读写进程内存R3,R0通信
dengjiatao9832的博客
09-21 1442
1 stdafx.h 头文件代码 2 3 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. 4 #define _WIN32_WINNT 0x0501 // Change this to the appr...
Windows驱动 - R3-R0事件交互
qq726232111的博客
12-25 679
0x00 函数 ObReferenceObjectByHandle //通过句柄获取内核资源 ObDereferenceObject //释放资源 0x01 代码 桌面程序 #include <windows.h> #include <stdio.h> #define IOCTL_CREATE_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x999, METHOD_BUFFERED , FILE_READ_DATA | FILE...
NT内核和驱动开发的基础知识-笔记
kernelspy
10-25 2965
这是我在学习NT内核和驱动开发的基础知识时记录的一些笔记,不是连续的教程,欢迎指正错误的地方 -------------------------------------------------------------------------------------------- NT内核模式组成部分(从上到下:NT执行体/NT内核/HAL硬件抽象层): 1、HAL硬件抽象层    NT内
超详细|一篇搞定操作系统——处理器管理
diviner_s的博客
10-10 6532
文章目录处理器管理2.1 程序执行前趋图前趋图——顺序执行前趋图——并发执行2.2 进程概念与状态2.2.1 进程概念2.2.2 进程的状态2.3 进程控制2.3.1 进程控制块PCB2.3.2 操作系统内核2.3.3 进程控制原语2.4 线程2.4.1 线程的基本概念2.4.2 线程的实现2.4.3 其他相关技术2.5 处理器调度2.5.1 调度的概念2.5.2 作业调度2.5.3 进程调度2.5.4 操作系统调度实例2.6 进程同步和互斥2.6.1 进程同步与互斥概念2.6.2 一些基本概念2.6.3
Petri网变换在理论计算机科学中的应用和研究
Padberg何世曼1软件技术和理论计算机科学研究所德国柏林技术大学摘要本文的目的是介绍Petri网变换领域,基于规则的方法,动态变化的Petri网的网络结构。 这一点尤其重要,软件工程中软件开发过程意义上的Petri网的...
ARM微处理器编程模型与linux驱动开发
最新发布
m0_61229395的博客
09-04 3047
它是一个独立的黑盒子,使某个特定的 硬件可以响应一个定义良好的内部编程接口,同时完成隐藏设备的工作。在顶层的Makefile会读取config文件(默认的是.config), 根据.config文件的配置选项编译内核,顶层Makefile会递归的遍历每一个子目录下的Makefile文件(编译各个目录下的的目标文件)抢占优先级的级别高于响应优先级。0:用户模式,1:快速中断模式,2:中断模式,3:管理模式,4:中止模式,5:未定义模式,6:系统模式,7:Monnitor模式,8:hypervisor模式。
驱动框架、内核驱动与R3通信1
08-03
简介硬件驱动的抽象系统 -> 驱动 -> 硬件 抽象为 系统 -> 驱动 -> 文件 ,驱动功能(如:打开、关闭、读写、控制、电源)等向系统注册函数指针,即注册
计算机基础知识八股文(网络篇)
lcynone的博客
01-14 1590
网络八股文
Windows驱动开发第10课(R3R0通信交换数据第一节)
weixin_42655748的博客
11-28 1467
[Windows] 系统调用(R3 进入 R0
LYSM
09-07 1598
背景 一个线程由用户态进入内核态的途径有3种典型的方式: 通过 int 0x2e(软中断自陷) 或 SysEnter (快速系统调用),主动进入内核。 引发异常或硬件中断,被迫进入内核。 通过 int 0x2e 进入内核(xp以下) 一般 R3 的 API 最终都会去调用 NT 函数,在 NT 函数中根据该 API 对应的索引号去 SSDT / SSDT Shadow 中查找对应的方法,最后通过 SSDT / SSDT Shadow 进入内核。 ...
Windows内核编程R0R3通信
輚至消亡
03-20 1962
直接设备读写 其原理是锁定用户空间内存(这解决了分页内存置换导致缺页异常的问题)并将其映射到内核空间地址,直接对该内核空间地址进行写入即可,由于进程的内核空间是共享的。所以属于任何进程的线程都可以写入。 注意的点: 1. 要为设备添加DO_DIRECT_IO标志 2. 为R3下ReadFile和WriteFile派遣函数时获取对对应传入参数 a. 其中WriteFile的用户输入内存地址和ReadFile的设备输出地址通过MmGetSystemAddressForMdlSafe函数锁定IRP.
Windows驱动开发第11课(R3R0通信交换数据第二节)
weixin_42655748的博客
11-29 735
在上一节课我们证实了在用户层调用CreateFile函数时,相应的在驱动层会响应一个IRP_MJ_CREATE的事件。 这节课我们来看看用户层和驱动层是怎么交换数据的。 首先来介绍一下控制码,由CTL_CODE宏创建,是一个唯一的32位系统I/O控制代码,这个控制代码包括4部分组成: DeviceType(设备类型,高16位(16-31位)), Function(功能 2-13位), Method(I/O传递的方式),有4种(METHOD_BUFFERED,METHOD_IN_DIRECT,METHOD_
应用层R3程序以及内核R0程序实现获取时间功能
苞米地里捉小鸡的博客
05-13 602
1.R3应用层windows下有专门的API获取系统时间以及本地时间 通过调用GetLocalTime以及GetSystemTime 函数原型: void GetSystemTime( LPSYSTEMTIME lpSystemTime ); void GetLocalTime( LPSYSTEMTIME lpSystemTime ); https://docs.microsoft.com/en-us/windows/win32/api/sysinfoapi/nf-sysinfoapi-g
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4290
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0R3权限依次降低,R0R3的权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用的函数接口都在ntdll.dll中, ...
内核概念-内核
wlssing
08-11 1340
1.R3R0  用户模式和内核模式 当我们开始一个应用层的程序,操作系统惠威改程序分配一个一个私有的虚拟地址空间和私有句柄表。因为地址空间是私有的,所以一个应用程序不能改变其他的应用程序的数据,每个应用程序都是独立的,当一个应用程序crash了,这个崩溃也仅限于这个程序,其他程序不会受影响。 在内核中运行的代码共享一个虚拟地址空间,这意味着内核驱动并不是与操作系统和其他驱动是相互独立的,当
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值