windows内核原理与实现笔记之IO请求包

最新推荐文章于 2020-12-28 15:59:29 发布
最新推荐文章于 2020-12-28 15:59:29 发布
阅读量400 收藏
点赞数
分类专栏: Windows内核原理与实现 文章标签: IO请求包 IRP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maomao171314/article/details/109606892
版权

IRP 定义:

typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP {

    CSHORT Type;

    USHORT Size;

    PMDL MdlAddress;//该I/O请求的用户缓冲区的MDL,仅用于“直接I/O”类型

    ULONG Flags;//用于记录各种标志

    union {

        struct _IRP *MasterIrp;//若这是一个关联IRP,则指向主IRP

        LONG IrpCount;//若这是一个主IRP,则必须先完成多少个关联IRP

        PVOID SystemBuffer;//该操作被缓冲起来,指向系统地址空间缓冲区的地址

    } AssociatedIrp;

    LIST_ENTRY ThreadListEntry;//链表向,可以加入到线程的未完成的I/O请求链表中

    IO_STATUS_BLOCK IoStatus;//I/O操作的状态

    KPROCESSOR_MODE RequestorMode;//内核模式I/O请求或用户模式I/O请求

    BOOLEAN PendingReturned;//未完成返回

    CHAR StackCount;//栈单元计数

    CHAR CurrentLocation;//当前栈单元位置

    BOOLEAN Cancel;//该I/O请求是否已被取消

    KIRQL CancelIrql;//取消自旋锁在哪级IROQ上被获取

    CCHAR ApcEnvironment;//用于当该IRP被初始化时保存APC环境

    UCHAR AllocationFlags;//该IRP内存的分配控制状态

    PIO_STATUS_BLOCK UserIosb;//用户的I/O状态块

    PKEVENT UserEvent;//用户事件对象

    union {

        struct {

            PIO_APC_ROUTINE UserApcRoutine;//当I/O请求完成时指向的APC例程

            PVOID UserApcContext;//传递UserApcRoutine的环境参数

        } AsynchronousParameters;

        LARGE_INTEGER AllocationSize;//分配块的大小

    } Overlay;

    PDRIVER_CANCEL CancelRoutine;//若是可取消的I/O请求,该域包含了取消时调用的例程

PVOID UserBuffer;//调用者(即发起者)提供的输出缓冲区的地址

//以下Tail联合成员用于当I/O管理器处理该I/O请求时存放各种工作信息

    union {

        struct {

            union {

                KDEVICE_QUEUE_ENTRY DeviceQueueEntry;//设备队列项

                struct {

                    PVOID DriverContext[4];//由驱动程序解释和使用

                } ;

            } ;

            PETHREAD Thread;//指向发起者线程的ETHREAD

            PCHAR AuxiliaryBuffer;//辅助缓冲区

            struct {

                LIST_ENTRY ListEntry;//存放到完成队列中的链表项

                union {

                    struct _IO_STACK_LOCATION *CurrentStackLocation;//指向当前栈单元,驱动程序不可直接访问

                    ULONG PacketType;//Minipacket 的类型

                };

            };

            PFILE_OBJECT OriginalFileObject;//指向原始的文件对象

        } Overlay;

        KAPC Apc;//特殊内核模式APC或发起者的APC

        PVOID CompletionKey;//完成键,用于标识在不同文件句柄上的I/O请求

    } Tail;

} IRP, *PIRP;

IRP对象从一个I/O请求被发起时开始存在,一直到该I/O请求被完成或者取消为止。

IRP对象的设计特点:

  1. 所有的I/O请求都被抽象成针对文件对象的操作,OriginalFileObject 记录了该文件对象,代表一个I/O 请求的目标
  2. 栈单元。由于可能由多个驱动程序一次参与到一个I/O请求的处理过程中,所以,一个IRP对象出了以上列出的IRP数据结构,其后还有一个称为栈单元的数组。每个参与处理的驱动程序都可以有它自己的栈单元。
  3. 支持取消。线程可以指定一个取消例程,以便当I/O请求被取消时可以执行相关的动作。
  4. I/O请求的完成。当一个驱动程序的分发例程认为它已经完成了该I/O请求时,会显式的告诉I/O管理器,此I/O请求已完成。

 

栈单元IO_STACK_LOCATION 定义:

typedef struct _IO_STACK_LOCATION {

    UCHAR MajorFunction;//在该设备对象上的I/O请求主功能码

    UCHAR MinorFunction; //在该设备对象上的I/O请求次功能码

    UCHAR Flags;

    UCHAR Control;

    union {

        struct {...} Create; //NtCreateFile 的参数

        struct {...} CreatePipe;// NtCreaeNamedPipeFile 的参数

        struct {...} CreateMailslot;// NtCreateMailslotFile 的参数

        struct {...} Read;// NtReadFile 的参数

        struct {...} Write;// NtWriteFile 的参数

        struct {...} QueryDirectory;// NtQueryDirectory 的参数

        struct {...} NotifyDirectory;// NtNotifyChangeDirectroyFile的参数

        struct {...} QueryFile;// NtQueryInformationFile 的参数

        struct {...} SetFile;// NtSetInformationFile 的参数

        struct {...} QueryEa;// NtQueryEaFile 的参数

        struct {...} SetEa;//NtSetEaFile 的参数

        struct {...} QueryVolume;// NtQueryvolumeInformationFile 的参数

        struct {...} SetVolume;// NtSetvolumeInformationFile 的参数

        struct {...} FileSystemControl;// NtFsControlFile 的参数

        struct {...} LockControl;// NtLock/NtUnlockFile 的参数

//NtFlushBuffersFile的参数

//NtCancelIoFile的参数

        struct {...} DeviceIoControl;//NtDeviceIoControFile的参数

        struct {...} QuerySecurity;// NtQuerySecurityObject 的参数

        struct {...} SetSecurity;// NtSetSecurityObject 的参数

        struct {...} MountVolume;// MountVolume的参数

        struct {...} VerifyVolume;// VerifyVolume的参数

        struct {...} Scsi;//SCSI 内部设备控制的参数

        struct {...} QueryQuota;// NtQueryQuotaInformationFile 的参数

        struct {...} SetQuota;//NtSetQuotaInformationFile 的参数

        struct {...} QueryDeviceRelations;//IRP_MN_QUERY_DEVICE_RELATIONS的参数

        struct {...} QueryInterface;//IRP_MN_QUERY_INTERFACE的参数

        struct {...} DeviceCapabilities;//IRP_MN_QUERY_CAPABILITIES的参数

        struct {...} FilterResourceRequirements;

//IRP_MN_FILTER_RESOURCE_REQUITEMENTS的参数

        struct {...} ReadWriteConfig;//IRP_MN_READ_CONFIG和IRP_MN_WRITE_CONFIG的参数

        struct {...} SetLock;//IRP_MN_SET_LOCK 的参数

        struct {...} QueryId;//IRP_MN_QUERY_ID的参数

        struct {...} QueryDeviceText;//IRP_MN_QUERY_DEVICE_TEXT的参数

        struct {...} UsageNotification;//IRP_MN_DEVICE_USAGE_NOTIFICATION的参数

        struct {...} WaitWake;//IRP_MN_WAIT_WAKE的参数

        struct {...} PowerSequence;//IRP_MN_POWER_SEQUENCE的参数

        struct {...} Power;//IRP_MN_SET_POWER、IRP_MN_QUERY_POWER的参数

        struct {...} StartDevice;//StartDevice 的参数、Cleanup的参数

        struct {...} WMI;//WMI IRP的参数

        struct {...} Others;//其他,由驱动程序自己定义和解释

    } Parameters;

    PDEVICE_OBJECT DeviceObject;

    PFILE_OBJECT FileObject;

    PIO_COMPLETION_ROUTINE CompletionRoutine;

    PVOID Context;

} IO_STACK_LOCATION, *PIO_STACK_LOCATION;

Control 域包含了栈单元的控制标志,该域对驱动程序是只读的,请参考宏定义

#define SL_PENDING_RETURNED             0x01

#define SL_ERROR_RETURNED               0x02

#define SL_INVOKE_ON_CANCEL             0x20

#define SL_INVOKE_ON_SUCCESS            0x40

#define SL_INVOKE_ON_ERROR              0x80

DeviceObject :指向与该栈单元相对应的设备对象

FileObject: 指向与DeviceObject相关联的文件对象

CompletionRoutine:是该栈单元对应的驱动程序通过IoSetCompletionRoutine设置的完成例程

Context :由驱动程序指定的、传递给CompletionRoutine 的参数

IRP与文件对象、设备对象和驱动程序之间的关系,如下图:

IRP对象是通过IoAllocateIrp 分配的,IoAllocateIrp 转发给pIoAllocateIrp 函数指针。pIoAllocateIrp 在初始化时指向IopAllocateIrpPrivate。所以,IRP对象实际是在IopAllocateIrpPrivate 完成的,通过IopFreeIrp 释放IRP对象。

maomao171314
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WINDOWS内核原理实现(带书签版)-潘爱民.pdf
06-29
WINDOWS内核原理实现(带书签版)
USB驱动查询USB设备信息
faithzzf的专栏
05-26 1472
USB驱动查询USB设备信息。
控制器和多功能设备
尘埃落定
10-16 2625
在第六章提到过,有两种类型的设备不太符合PNP的框架。它们是控制器设备和多功能设备。控制器设备管理一些子设备,而多功能设备在同一个设备上有几种功能。它们的共同之处在于,必须使用独立的I/O资源来创建多个设备对象。在Windows XP 下,支持那些遵守各自总线标准的设备很容易,例如: PCI, PCMCIA,USB设备等。 PCI 总线驱动可自动识别 PCI 多功能卡。对PCMCI
获取按键信息
一介码农,热爱金融。
11-19 1646
Windows程序都是基于消息设计的。当你按下一个按键,或者点击一下鼠标,都会想操作系统的内核发送一个Irp消息。你只要捕获这个消息,将这个消息复制下,然后将消息放行。将复制的消息传送给你的应用程序。这就是获取键盘按键消息的实现方法。         很多黑客软件获取别人计算的密码,大多也用这种方法。建议广大用户在使用计算机进行输入游戏账号密码或者银行账号密码等,多用软键盘。防止别人通过这种
什么是IO(2)
氤氲紫镜的空间
07-09 1351
这部分的东西在网络编程经常能看到,不过在所有IO处理中都是类似的。 IO请求的两个阶段: 等待资源阶段:IO请求一般需要请求特殊的资源(如磁盘、RAM、文件),当资源被上一个使用者使用没有被释放时,IO请求就会被阻塞,直到能够使用这个资源。 使用资源阶段:真正进行数据接收和发生。 举例说就是排队和服务。 在等待资源阶段,IO分为阻塞IO和非阻塞...
IRP_MN_DEVICE_USAGE_NOTIFICATION
Rodney443220的专栏
02-13 1378
System components send this IRP to ask the drivers for a device whether the device can support a special file. Special files include paging files, dump files, and hibernation files. If all the driver
Windows内核原理实现
11-16
根据WRK代码,系统广泛地描述Windows内核的各个方面的特性,原理实现。对于希望系统理解Windows内核的读者,是一本很好的领路人。
Windows内核原理实现.PDF
03-24
潘爱民大师的著作,本人看过后感觉对于操作系统的理解有了很大的提高,结合windows内核的WRK源代码来解释windows内核原理 很好的书籍 分享给大家
Windows内核原理实现.rar
05-26
Windows内核原理实现.rar
windows内核原理实现 配套工具
03-30
windows内核原理实现》是一本比较好的学习系操作系统的工作原理的一本书,值得参考。
Windows NT内核函数大全
qq_42577465的博客
06-06 1479
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
驱动开发学习笔记
迈克揉索芙特
01-02 3443
1、三种类型的WDM驱动程序   总线驱动程序(bus driver)   功能驱动程序(function driver)   过滤驱动程序(filter driver)2、其他分类方法   类驱动程序(class driver)   端口驱动程序(port driver)   小端口驱动程序(miniort driver)3、驱动对象(DRIVER_OBJECT)主要成员   Devic
wdm驱动,通过IRP_MN_QUERY_CAPABILITIES实现设备通过任务栏的绿色箭头弹出
World-wang
07-03 2090
电源事件相关的IRPIRP_MJ_POWER和IRP_MN_QUERY_CAPABILITIES 此处关于IRP_MN_QUERY_CAPABILITIES的使用FDO通过向底层PDO请求IRP,会得到 DEVICE_CAPABILITIES结构体数据,此结构体会指明驱动程序支持的电源特新。 驱动代码:
I/O Request Packet
zhuo_zhibin的专栏
09-14 5850
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
使用IRP进行文件操作
03-26 2664
一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码)     --   被诅咒的神(邪恶八进制信息安全团队)Windows平台内核级文件访问                               --   baiyuanfan ([email protected])特别感谢被诅咒的神,他写的里面含了非常多
发送请求_内核层自己发送IRP请求操作文件全面总结
weixin_35927281的博客
12-28 611
本文为看雪论精华文章看雪论坛作者ID:低调putchar 一、概述Windows操作系统中,文件系统过滤驱动的过滤设备绑定在文件系统(FSD)设备之上,监视和过滤我们的文件访问。当应用层发起文件操作调用时内核层都会转换为IRP发送到设备栈中位于栈顶的设备,然后通过IO栈单元(IO_STACK_LOCATION)保存一些参数把IRP请求继续向下层设备发送,最后至FSD,由FSD完成实际的文...
USB设备驱动开发之远程访问USB设备(二 USB设备虚拟端)
热门推荐
fanxiushu的专栏
05-24 1万+
By Fanxiushu 2016-05-22 转载或引用请注明原始作者 接上文, 在处理好USB数据采集端的问题之后,接下来进入核心的部分,虚拟USB设备端的开发工作。 上文简单介绍过,需要开发虚拟总线驱动来模拟USB设备。 所谓虚拟总线驱动,就是安装于System系统设备下的一个驱动,由PnP管理器创建出一个虚拟的总线PDO设备, 我们的虚拟总线驱动Attach到这个PDO上,形成一
IRP_MN_QUERY_DEVICE_TEXT
Vinx Blog
06-23 333
IRP_MN_QUERY_DEVICE_TEXT The PnP manager uses this IRP to get a device’s description or location information. PnP 管理器使用此 IRP 获取设备的描述或位置信息。 Bus drivers must handle this request for their child devic...
Driver 加载步骤
Vinx Blog
01-01 1375
Driver 加载步骤1)当硬件连接到PC或从PC移除时,在硬件上会有信号跳变,BUS Driver会检测到器件的插入和移除,比如DVI的hotplug,再比如USB1.1的1.5K上拉。BUS Driver将调用IOInvalidateDevcieRelations,PNP Manager将知道BUS上的Device关系有所改变。2)为了获得新的Device关系,PNP Manager将调用IRP
windows内核原理实现pdf
最新发布
06-26
Windows内核原理实现》是一本介绍Windows操作系统内核的经典书籍,涵盖了Windows内核的结构、线程管理、进程管理、内存管理、同步机制和驱动程序等方面。 Windows操作系统的内核是操作系统的核心部分,负责管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值