Fast I/O和IRP_笔记

最新推荐文章于 2021-10-11 21:09:47 发布
最新推荐文章于 2021-10-11 21:09:47 发布
阅读量1.8k 收藏 5
点赞数
分类专栏: 研发管理

1. IRP and Fast I/O

http://excel.fit.vutbr.cz/submissions/2019/019/19_poster.pdf

2. Minifilter 拦截FileMapping IO事件

https://blog.csdn.net/zj510/article/details/85059638#FileMapping_17

3 文件过滤

https://wenku.baidu.com/view/c1791d596d85ec3a87c24028915f804d2b1687cc.html

4 文件上下文与缓冲处理  -- STOPAT

https://blog.csdn.net/wxyyxc1992/article/details/27842841

Windows操作系统为用户提供了巧妙的缓存机制,即只要一个文件被以缓冲方式打开过,则其内容的全部或者一部分就已经保存在了内存里。一般来说,一个文件无论有多少个进程在访问,都只有一份文件缓冲。一般的应用层的读写请求都是普通的读写请求(不带IRP_PAGING_IO/IRP_SYNCHRONOUS_PAGING_IO/IRP_NOCACHE),这种请求的特点是文件系统会直接调用CcCopyRead和CcCopyWrite函数完成,这两个函数会直接从缓冲中读数据,如果缓冲中没有,才会转换为分页读写请求。而如果系统中已经存在了该文件的文件缓冲,那么应用层的读写请求往往会被转化为Fast IO请求。

    对于IO操作,Irp机制是最基本、默认的处理机制。Irp机制可以用于同步的、异步的、cached或者noncached IO操作。当遇到“缺页中断”时,Memory Manager也会通过发送相应的Irp包给文件系统来处理。 而 FastIO 的设计初衷则是用来处理快速的、同步的、并且“on cached files”的IO操作。当进行 FastIO 操作时,所需处理的数据是直接在用户buffer和系统缓存中进行传输的,而不是通过文件系统和存储器驱动栈(storage driver stack)。事实上存储器驱动并不使用FastIO机制。当需要处理的数据已经存在于系统缓存,则采用FastIO机制的读写操作立刻就可以完成。否则,系统会产生一个缺页中断,这会导致系统发送相应的IRP包来完成用户所需的读写操作。通常发生这种情况(指:所需的数据不在系统缓存的情况)的时候,FastIO函数会返回FALSE,或者一直等到缺页中端响应函数把所需的数据都加载到系统缓存中。(注:如果FastIO处理函数返回FALSE,那么调用者必须自己创建相应Irp来完成所需的处理。

关于文件缓冲的清理本驱动放置在了IRP_MJ_CLEANUP的预操作回调中,首先使用 FltGetFileNameInformation函数获取当前文件绝对路径,然后根据文件名判断是否为机密文件。对于非机密文件,安全起见我们也是默认清除其缓存,而对于机密文件,也是需要强制清除其缓存,但是excel文件是一个特例。如果操作excel文件的缓存,会出发写磁盘的操作而导致部分excel文件的数据被加密,最终使得加密标识被破坏而文件被损坏无法再次打开。

对于文件缓冲清除的具体操作由Cc_ClearFileCache()函数完成,函数声明如下:

VOID Cc_ClearFileCache(

__in PFILE_OBJECT FileObject,

__in BOOLEAN bIsFlushCache,

__in PLARGE_INTEGER FileOffset, 

__in ULONG Length) ;

本函数中,首先需要获取文件对象对应的FCB,即FSRTL_COMMON_FCB_HEADER结构体对象: Fcb = (PFSRTL_COMMON_FCB_HEADER)FileObject->FsContext ;

然后使用ExAcquireResourceExclusiveLite()函数获取到Fcb->Resource或者 Fcb->PagingIoResource这个资源锁,这里可以使用true循环,可能需要多次操作才能获取到。获取到资源锁之后,依次调用CcFlushCache、MmFlushImageSection、CcPurgeCacheSection这三个函数实现对于缓冲的清除,这一点和传统的文件过滤驱动的方式是一样的。

在实际操作中,如果有用户同时在编辑机密文件的时候不小心使用非机密进程导致文件缓冲被清除,会造成用户的信息流失,整个驱动程序的稳定性与兼容性也不是很好。并且频繁地清除缓冲,也会对系统的性能造成较大的影响。

双缓冲机制

缓冲管理器必需维护每个文件的缓冲信息,这个信息用缓冲位图来维护,对于每个文件,缓冲管理器分配一个共享缓冲位图(Shared Cache Map)结构来保存这个文件和这个文件相关联的其他信息的映射位图。这个共享缓冲位图结构在这个文件缓冲被文件系统驱动或者网络重定向请求初始化的时候分配。此外,共享缓冲位图对每个文件是唯一的,因此只有在首次为文件建立缓冲的时候分配,每次用一个特定的文件对象发出一个初始化缓冲的时候,缓冲管理器就分配一个私有的缓冲位图(Priviate Cache Map)机构。缓冲管理器用这个结构来标记缓冲已使用,其中还包含缓冲管理器用于预读控制的信息和其他的数据。需要特别说明的是,共享缓冲位图结构和私有缓冲位图的结构都是由缓冲管理器分配和维护的。为了创建两个缓冲区,必需利用缓冲管理器向文件系统驱动提供的接口,接口可以分为四类即文件操作接口:用来初始化文件缓冲区,刷新缓冲数据到磁盘,修改文件大小,清除缓冲数据等。

在本驱动程序中,借鉴了Windows WDK中提供的例程:Swap Buffer,即对于同一机密文件而言为机密进程与非机密进程创建了两个缓冲区(非机密进程访问的系统分配的缓冲区,机密进程访问的是我们申请的附加在文件上下文中的缓冲区),并且控制仅有机密进程可以访问明文缓冲区,这部分的具体实现方法的介绍请参照3.6数据加解密模块。
 

5. Word and notepad

https://community.osr.com/profile/discussions/Bryan_G

 

6. 关于Fast I/O和IRP

https://blog.csdn.net/wwwgeyang777/article/details/6914844

NT 下 Fast I/O 是一套 IO MANAGER 与 DEVICE DRIVER 沟通的另外一套 API。在进行基于 IRP 为基础的接口调用前, IO MANAGER 会尝试使用Fast I/O接口来加速各种 IO操作.

Fast I/O is specifically designed for rapid synchronous I/O on cached files. In fast I/O operations, data is transferred directly between user buffers and the system cache, bypassing the file system and the storage driver stack. (Storage drivers do not use fast I/O.) If all of the data to be read from a file is resident in the system cache when a fast I/O read or write request is received, the request is satisfied immediately. Otherwise, a page fault can occur, causing one or more IRPs to be generated. When this happens, the fast I/O routine either returns FALSE, or puts the caller into a wait state until the page fault is processed. If the fast I/O routine returns FALSE, the requested operation failed and the caller must create an IRP.
 

7. Windows文件系统过滤驱动在防病毒方面的应用

http://m.e-works.net.cn/articles/article71754.htm

8. 驱动对象(DRIVER_OBJECT)

https://blog.csdn.net/yourenhello/article/details/17100135

https://blog.csdn.net/wishfly/article/details/90411672

9 Forcing the Cache Manager to release its reference to a File Object

https://community.osr.com/discussion/291055/forcing-the-cache-manager-to-release-its-reference-to-a-file-object

 

10 IRP中的三种缓冲区

https://www.cnblogs.com/LittleHann/p/3450436.html

 

11 关于“IRP_MJ_CREATE ” 的Dispatch中判断FileObject是文件还是目录问题

https://blog.csdn.net/kaylc/article/details/6780238

当Ring3 CreateFile发起对某个文件对象的请求时,如:C:/Program Files/Microsoft Visual Studio/VC98/LIB/LIBC.lib"。请求进入Ring0,Fs会把该请求生成多个IRP_MJ_CREATE,逐层的打开目录对象,直至到目标文件LIBC.lib,所以在
IRP_MJ_CREATE的Dispatch中的IrpSp->Parameters.Create.Options & FILE_DIRECTORY_FILE可以判断到达目标文件对象前的那些请求,肯定就是目录。

    注意:但在IRP_MJ_CREATE的Dispatch中无法使用IrpSp->Parameters.Create.Options & FILE_DIRECTORY_FILE来判断目标文件对象(LIBC.lib)是文件还是目录,得将IRP传递到底层后,在完成例程中判断目标文件对象是文件还是目录。而上述是因为目标文件前的一定是目录,所以可以判断。
 

12 双缓冲机制的具体实现

https://blog.csdn.net/wxyyxc1992/article/details/27842841

Ⅰ:预回调函数处理

这里以文件的读过程为例说明双缓冲机制及文件解密的具体过程。

首先在IRP_MJ_READ的Pre函数中,分别使用FltGetVolumeContext函数获取到文件对象所属的卷上下文(包含了该文件对象所拥有的加解密密钥)以及Ctx_FindOrCreateStreamContext()函数获取到流上下文。然后会判断读写是否为Fast IO,如果为Fast IO则设置返回状态为FLT_PREOP_DISALLOW_FASTIO,此返回状态在MSDN中的定义如下:

The operation is a fast I/O operation, and the minifilter driver is not allowing the fast I/O path to be used for this operation. The filter manager does not send the fast I/O operation to any minifilter drivers below the caller in the driver stack or to the file system. In this case, the filter manager only calls the post-operation callback routines of the minifilter drivers above the caller in the driver stack.

在过滤了Fast IO和非机密文件的IRP请求之后,我们会为机密文件的IRP请求申请新的内存空间用于存放解密之后的明文信息。最后申请属于该IRP的MDL空间并通过PPRE_2_POST_CONTEXT结构体传递到Post函数中。在这里要注意一点,在修改了回调数据包Data之后务必调用FltSetCallbackDataDirty()函数通知系统对于回调数据包做的修改。

Ⅱ:后回调函数处理

当文件磁盘驱动完成对于文件内容的分页读写之后,会自动将数据传入到IRP_MJ_READ的后回调函数之中。

在Post函数的处理中,我们首先要获取到系统分配的缓冲区,鉴于系统会采取三种方式(缓冲区读写、直接读写与其他方式读写)进行内存读写,要进行不同的判断。

首先使用 MmGetSystemAddressForMdlSafe( iopb->Parameters.Read.MdlAddress, NormalPagePriority )函数尝试获取到系统分配的MDL的缓冲区地址,如果不存在,则对回调数据包的Flags1进行判断,如果Flags中存在 FLTFL_CALLBACK_DATA_SYSTEM_BUFFER或者

FLTFL_CALLBACK_DATA_FAST_IO_OPERATION则说明系统使用缓冲区读写的方式,那么可以直接从iopb->Parameters.Read.ReadBuffer中获取到系统分配的缓冲区地址。

如果系统不是用的上述两种读写方式,那么说明系统使用的是其他方式读写,此时在DPC的中断级别下是无法获取到正确的缓冲区地址,需要更改我们的IRQL;

此时使用fltKernel中提供的API:

FltDoCompletionProcessingWhenSafe( Data,

                                FltObjects,

                                CompletionContext,

                                Flags,

                                PostReadWhenSafe,

                                &FltStatus )

其中PostReadWhenSafe是我们定义的回调函数,该回调函数执行的中断级别就是我们所需要的安全的中断级别。

此时我们已经获取到了系统分配的缓冲区地址,换言之,即是系统分配的应用程序的内存地址,而我们真实的明文数据存放在p2pCtx->SwappedBuffer中。在Post函数的最后,我们调用RtlCopyMemory函数将明文数据复制到用户的内存空间,至此完成了对于机密进程的数据读取功能。
 

13 IRP_MJ_DIRECTORY_CONTROL

13.1 IRP_MJ_DIRECTORY_CONTROL是怎么回事? 

http://bbs3.driverdevelop.com/read.php?tid=109756

  //  IRP_MJ_DIRECTORY_CONTROL
    //
 
    union {
 
        //
        //  IRP_MN_QUERY_DIRECTORY or IRP_MN_QUERY_OLE_DIRECTORY
        //
 
        struct {
            ULONG Length;
            PUNICODE_STRING FileName;
            FILE_INFORMATION_CLASS FileInformationClass;
            ULONG POINTER_ALIGNMENT FileIndex;
 
            PVOID DirectoryBuffer;  //Not in IO_STACK_LOCATION parameters list
            PMDL MdlAddress;        //Mdl address for the buffer  (maybe NULL)
        } QueryDirectory;
 
        //
        //  IRP_MN_NOTIFY_CHANGE_DIRECTORY
        //
 
        struct {
            ULONG Length;
            ULONG POINTER_ALIGNMENT CompletionFilter;
 
            //
            // These spares ensure that the offset of DirectoryBuffer is
            // exactly the same as that for QueryDirectory minor code. This
            // needs to be the same because filter manager code makes the assumption
            // they are the same
            //
 
            ULONG POINTER_ALIGNMENT Spare1;
            ULONG POINTER_ALIGNMENT Spare2;
 
            PVOID DirectoryBuffer;  //Not in IO_STACK_LOCATION parameters list
            PMDL MdlAddress;        //Mdl address for the buffer  (maybe NULL)
        } NotifyDirectory;
 
    } DirectoryControl;
 


  
13.2 Data->Iopb->Parameters.DirectoryControl.QueryDirectory.DirectoryBuffer

https://community.osr.com/discussion/132007

you are type casting wrong member. you should verify first that which type of buffer is this (compare Data->Iopb->Parameters.DirectoryControl.QueryDirectory.FileInformationClass) and than typecast

Data->Iopb->Parameters.DirectoryControl.QueryDirectory.DirectoryBuffer

to that type structure.

13.3 DirectoryBuffer

https://community.osr.com/discussion/59370

pData = Buffer; // User Buffer
pInfo= (PFILE_BOTH_DIR_INFORMATION)pData;
 
while (TRUE && pInfo!=NULL)
{ 
//(%C, %S, %lc, %ls, %wc, %ws, %wZ) 
DbgPrint    ("\n\tINQUESTFSD @ FatQueryDirectory->ADDRESS ---- pInfo %08lx",pInfo);
DbgPrint("\n\tINQUESTFSD @ FatQueryDirectory->END END Name = %ws",pInfo->FileName);
 
if (pInfo->NextEntryOffset == 0 )
break;
// Increment the variables
pData += pInfo->NextEntryOffset;
pInfo = (PFILE_BOTH_DIR_INFORMATION) pData;
Count++;
}


14 麦洛克菲内核开发第八课

https://max.book118.com/html/2016/1223/76159509.shtm

Mini filter安装 -  info和动态加载

 

15. 深入理解IRP的完成机制

http://www.feiker.cn/index.php?option=com_zoo&task=item&item_id=8&Itemid=110

 

16. 深入理解IRP概念、传递流程与完成函数

http://www.feiker.cn/index.php?option=com_zoo&task=item&item_id=9&Itemid=110

ch3rry
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Fast I/O和IRP
ALCAT的专栏
10-28 1942
这篇文章只是对Fast I/O和IRP做个简单的区分,不同点做简单的说明而已。 NT 下 Fast I/O 是一套 IO MANAGER 与 DEVICE DRIVER 沟通的另外一套 API。在进行基于 IRP 为基础的接口调用前, IO MANAGER 会尝试使用Fast I/O接口来加速各种 IO操作. 首先,Fast I/O是独立于普通的处理 IRP的分发函数之外的
Fast I/O
coding life
12-16 1937
文件过滤驱动 fast/io
fast-IO
weixin_30294021的博客
04-12 389
代码: 1 int Scan() //输入外挂 2 { 3 int res=0,ch,flag=0; 4 if((ch=getchar())=='-') 5 flag=1; 6 else if(ch>='0'&&ch<='9') 7 res=ch-'0'; 8 ...
Fast I/O 模板
weixin_33774883的博客
07-25 68
[来源:2017 Multi-University Training Contest - Team 1] //面包有毒:P #define BUF_SIZE 100000 //fread -> read bool IOerror = 0; inline char nc() { static char buf[BUF_SIZE], *p1 = buf + BUF_SIZ...
模板 读入挂
weixin_34296641的博客
10-24 170
## fread读入挂 const int BUF=40000000; char Buf[BUF],*buf=Buf; const int OUT=20000000; char Out[OUT],*ou=Out;int Outn[30],Outcnt; inline void write(int x){ if(!x)*ou++=48; els...
IRP.rar_驱动I/o操作
09-24
在Windows操作系统环境中,驱动程序与系统间的交互是通过I/O请求包(IRP,I/O Request Packets)来实现的。IRP是Windows内核I/O系统的核心组件,它为设备驱动程序提供了一种标准的方式来处理来自用户模式应用程序...
IRP.rar_IRP_Windows内核
09-20
1. **IRP结构体**:IRP是定义在`wdm.h`头文件中的结构体,包含多个成员,如`MajorFunction`(主要功能代码,指示I/O操作的类型)、`CurrentStackLocation`(当前处理该IRP的驱动程序的IRP堆栈位置)和`IoStatus`...
irp_mn.rar_The Bus_pnp
09-24
在Windows操作系统中,I/O请求包(IRP,Input/Output Request Packet)是内核模式驱动程序用来与硬件交互的主要机制。IRP_MN_START_DEVICE是其中一种PnP(Plug and Play)IRP,它指示设备驱动程序启动对新发现或重新...
IRP.rar_IRP_IRP.pdf_irp.rar_求IRP的编程
09-21
5. **DeviceQueueEntry**:IRP在设备队列中的位置,用于调度和同步I/O操作。 6. **IoCompletionRoutine**:指定一个完成例程,当IRP处理完毕后会被调用。 IRP的处理流程通常包括以下步骤: 1. **发起I/O请求**:...
IRP.rar_IRP_irp地址解析_site:www.pudn.com
09-14
在Windows驱动程序开发中,理解和掌握IRP的工作机制至关重要,因为它是驱动程序与系统I/O管理器之间通信的主要手段。下面将详细阐述IRP的结构及其包含的数据结构。 IRP是由系统分配的内存块,它包含了执行特定I/O...
fast_io是基于C ++ 20概念的C ++通用异常安全RAII I / O库-C/C++开发
05-26
fast_io是基于C ++ 20概念的C ++通用异常安全RAII I / O库。 它至少比cstdioiostream快十倍。 fast_io fast_io是一个新的C ++ 20库,用于极快的输入/输出,旨在取代iostream和cstdio。 它仅是标头(以后仅提供模块),可轻松包含在您的项目中。 它需要功能强大的C ++ 20编译器支持概念。 不协调网址。 您可以直接在Discord中问我问题。 https://discord.gg/wYfh8kk在fast_io中“快速”是什么意思? 并不一定意味着它会比其他任何东西都快。 (或者将其命名为fastest_io。当然,那些FM
FastIO.h——C++快读快写模板库
11-30
C++快读快写模板库(暂不支持实数、复数类型),适用于对输入输出速度要求高的场景。
双缓冲透明加解密系统研究与实现
06-09
双缓冲透明加密系统:filter(用来定位) + layer fsd (用来维护 fake fcb) + 双 fcb(一真一假)
miniFilter自带的例子,跟微软的一样
04-15
miniFilter自带的例子,跟微软的一样,里面有清楚的介绍
双缓冲过滤驱动唯一的一篇硕士论文
05-09
这是目前(截止2013年5月)唯一一篇双缓冲主题的硕士论文,比较难找。 内容还算系统,基本上讲清楚了思路,给出了实现的路子。
Fastio
orz
08-07 230
好用的快读 快读 111 struct Fastio { template <typename T> inline Fastio operator>>(T &x) { x = 0; char c = getchar(); while (c < '0' || c > '9') c = getchar(); while (c >= '0' &&
Fast IOFast IO 的探索及模板,竞赛专用。
x_mn的博客
08-14 1209
竞赛专用~~~ 通过测试一千万个数据的读入,来判断何种方法最快。每种测试结果都有时间附上。 首先生成一千万个随机数 #include<bits/stdc++.h> using namespace std; int main() { freopen("Date.txt","w",stdout); srand((unsigned)time(NULL)); for(int...
C++ Fast IO 快读快输
Ryan_Right的博客
10-11 3012
没啥,就贴个板子。 自从我们开始学 OI 以来,我们就接触了 IO。在 zsjz,老师会说: 大家读入数字都用这个: cin>>n; 输出数字都有这个: cout<<n; 在 zsyz,老师会说: 大家读入数字都用这个: scanf("%d",&n); 输出数字都用这个: printf("%d",n); 效率上,肯定是后面的快,但是前面的如果只加上这一句,就可以和后面达到同样的效果: ios::sync_with_stdio(false); 但有些时候,两个都不行,
BSOD原因 — FastIO
10-28 1078
      当阅读过滤驱动代码自己实践时,我想法是绑定完卷设备后,把所有的IRP都原封不动向下发,只是在passthru中打印个信息,表示经过了我的驱动,想看下效果。      用Device Tree查看,已成功绑定了D盘这个分区。用Dbgview查看,也能查看到输出信息。但是,绑定的D盘中,除了txt文件外,无法打开文件或运行程序,无法查看文件信息(创建日期,大小等),当一进行上述操作时,就B
IRP_MJ_DEVICE_CONTROL
最新发布
03-08
IRP_MJ_DEVICE_CONTROL是Windows内核中的一个重要的I/O请求分发函数,用于处理设备控制请求。它是IRP_MJ_INTERNAL_DEVICE_CONTROL的别名,用于处理设备对象上的内部设备控制请求。 当应用程序或驱动程序需要与设备进行通信并发送控制命令时,会使用IRP_MJ_DEVICE_CONTROL。该函数将请求传递给设备驱动程序,并由驱动程序根据请求的类型和参数来执行相应的操作。 IRP_MJ_DEVICE_CONTROL的工作方式如下: 1. 应用程序或驱动程序创建一个IRP(I/O请求数据包),并设置IRP_MJ_DEVICE_CONTROL作为主要的I/O请求操作码。 2. IRP被传递给设备驱动程序的IRP处理例程。 3. 驱动程序根据IRP中的控制码和其他参数,执行相应的设备操作。 4. 驱动程序将结果返回给IRP,并将其传递回调用者。 相关问题: 1. 什么是IRP? 2. IRP_MJ_DEVICE_CONTROL与其他IRP操作码有什么区别? 3. 如何创建和处理IRP? 4. IRP_MJ_DEVICE_CONTROL常用于哪些设备操作?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值