第7章 派遣函数

派遣函数是Windows驱动程序中的重要概念。驱动程序的主要功能是负责处理I/O请求，其中大部分I/O请求是在派遣函

数中处理的。

用户模式下所有对驱动程序的I/O请求，全部由操作系统转化为一个叫做IRP的数据结构，不同的IRP数据会被“派遣”到不同的派遣函数（Dispatch Function）中

7.1　IRP与派遣函数

IRP的处理机制类似Windows应用程序中的“消息处理”机制，驱动程序接收到不同类型的IRP后，会进入不同的派遣函数，在派遣函数中IRP得到处理。

7.1.1　IRP

在Windows内核中，有一种数据结构叫做IRP（I/O Request Package），即输入输出请求包。它是与输入输出相关的重要数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求。操作系统将I/O请求转化为相应的IRP数据，不同类型的IRP会根据类型传递到不同的派遣函数内。

IRP的两个基本的属性，一个是MajorFunction，另一个是MinorFunction，分别记录IRP的主类型和子类型。操作系统根据MajorFunction将IRP“派遣”到不同的派遣函数中，在派遣函数中还可以继续判断这个IRP属于哪种MinorFunction。

在DriverEntry的驱动对象pDriverObject中，有个函数指针数组MajorFunction。函数指针数组是个数组，每个元素都记录着一个函数的地址。通过设置这个数组，可以将IRP的类型和派遣函数关联起来。

7.1.2　IRP类型

IRP的概念类似Windows应用程序中“消息”的概念。在Win32编程中，程序是由“消息”驱动的。不同的消息，会被分发到不同的消息处理函数中。如果没有对应的处理函数，它会进入到系统默认的消息处理函数中。

IRP的处理类似这种方式。文件I/O的相关函数，如CreateFile、ReadFile、WriteFile、CloseHandle等函数会使操作系统产生出IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_CLOSE等不同的IRP，这些IRP会被传送到驱动程序的派遣函数中。

7.1.3　对派遣函数的简单处理

大部分的IRP都源于文件I/O处理Win32 API，如CreateFile、ReadFile等。处理这些IRP最简单的方法就是在相应的派遣函数中，将IRP的状态设置为成功，然后结束IRP的请求，并让派遣函数返回成功。结束IRP的请求使用函数IoCompleteRequest。下面的代码演示了一种最简单的处理IRP请求的派遣函数。

#001　NTSTATUS HelloDDKDispatchRoutin(IN PDEVICE_OBJECT pDevObj,　　　　　　　　　　　　　　　　　IN PIRP pIrp)

KdPrint(("Enter HelloDDKDispatchRoutin\n"));

//对一般IRP的简单操作，后面会介绍对IRP更复杂的操作

　　　NTSTATUS status =STATUS_SUCCESS;

　　　//设置IRP完成状态

　　　pIrp->IoStatus.Status =status;

　　　//设置IRP操作了多少字节

　　　pIrp->IoStatus.Information =0;　　// bytes xfered

　　　//处理IRP

　　　IoCompleteRequest( pIrp, IO_NO_INCREMENT );

　　　KdPrint(("Leave HelloDDKDispatchRoutin\n"));

　   　return status;

　}