一个大多数人写过滤驱动都存在的问题

最新推荐文章于 2022-05-25 14:04:33 发布
最新推荐文章于 2022-05-25 14:04:33 发布
阅读量236 收藏
点赞数
原文链接:http://www.cnblogs.com/kkindof/p/3597301.html
版权

就凑合写写,凑合看看吧

 

写过滤驱动的时候,一般有一个这样的需要,

在过滤某个请求request1的时候,进入到过滤的dispatch1函数,此时,我们需要发送IRP查询某些信息,但这些信息需要在request1完成后才能查询得到。

于是常见的会有2种写法:

第一种:

CompleteRoutine(context)

{

KeSetEvent(&context->NoticEvent, IO_NO_INCREMENT, FALSE);

return STATUS_MORE_PROCESSING_REQUIRED;

}

///

dispatch1(irp)

{

IO_STATUS_BLOCK ioStatusBlock;

IoSetCompletionRoutine( Irp, CompleteRoutine, (PVOID)context, TRUE, TRUE, TRUE );

iocallDriver(NextDevice, irp);

KeWaitForSingleObject(&context->NoticEvent)

 

queryIrp = TdiBuildInternalDeviceControlIrp( TDI_QUERY_INFORMATION, 

NextDeviceObject, 
irps->FileObject, 
NULL, 
&ioStatusBlock 
);

iocallDriver(queryIrp)

}

 

=================================

CompleteRoutine2(context)

{

.....

iocallDriver(queryIrp)

.....

}

 

第二种写法:

dispatch1(irp)

{

IO_STATUS_BLOCK ioStatusBlock;

 

queryIrp = TdiBuildInternalDeviceControlIrp( TDI_QUERY_INFORMATION, 

NextDeviceObject, 
irps->FileObject, 
NULL, 
&ioStatusBlock 
);

IoSetCompletionRoutine( Irp, CompleteRoutine2, (PVOID)context, TRUE, TRUE, TRUE );

iocallDriver(NextDevice, irp);

}

2种方法的代码大概如上,它们的区别主要是发起queryIrp的不同位置,第一种是直接在dispatch1中发起,第二种则是在完成例程中发起(不少网上流传的代码是这样)。

在极端的情况下会发生严重的后果,这个严重的情况就是当上面的第二种情况涉及到3条线程的时候则会出现。哪3条线程呢?

第1条:dispatch1()这个原始的请求线程

第2条:CompleteRoutine2(),当request1被异步完成时,那CompleteRoutine2就是在第2条线程中被调用的

第3条:在CompleteRoutine2()中发起queryIRP,当queryIrp这个IRP被异步完成时,则会IoCompleteRequest(queryIRP)的调用者是第3条线程

在上面情况发生时,第3条线程是Io manager在处理,它会使用special apc来完成,这个special apc的执行环境会回到第2条线程中执行,这时会把结果拷到当初建立的queryIrp 的ioStatusBlock 结构中

但如果这时候线程1,已经返回或者退出了的话,那这个ioStatusBlock 就很危险了,因为当初的ioStatusBlock 是在第1条线程栈中的,special apc 拷结果的时候,也许ioStatusBlock 的地址是新起线程的栈(第1条线程退出),

或者还是线程1的其它函数的栈。发生这种情况就会发现蓝屏的原因不知道为什么栈上的数据被改了,原因很难查明,特别还不是必现的!

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/kkindof/p/3597301.html

天为我蓝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
还在调API写所谓的AI“女友”,唠了唠了,教你基于python咱们“new”一个(深度学习)
`or 1 or 不正经の泡泡
11-24 3987
诶,标题有点欠揍是吧。好吧承认有点标题党了,拖更大王要更新了。快速构建一个简单的对话+问答AI (上)过来的。好吧被你发现了,我是把中间那一段拆开来了。好吧,之所以这样做其实还是因为那篇文章是在是太长了,没写清楚,同时每一个模块都是独立的,因此的话咱们专门拆开来再说下是咋干的。咱们这是一篇独立的博文,那么为啥要独立捏,因为我知道你可能并不需要一个比较完整的内容,如果你关注的是如何实现一个对话AI的话,那么来这里就对了。我们将单独从数据集开始再讲起。并且将真正完整的代码直接在咱们的博文当中贴出了。
软考高级系统架构设计师系列案例考点专题一:软件架构设计考点梳理及精讲
最新发布
zhengzaifeidelushang的博客
08-31 1373
软考高级系统架构设计师系列案例考点专题一:软件架构设计
菜鸟之驱动开发13
Care iOS技术团队
08-28 2885
在本节,我们将学习在内核模式下操作文件,包括:创建,打开,读取,修改,文件属性读取与修改。 相关的API有:ZwCreateFile, ZwOpenFile, ZwReadFile, ZwWriteFile, ZwQueryInformationFile,ZwSetInform
tdi总结
研究源码的最底层,只持有正确的仓位
01-15 2212
1.入口函数 创建设备对象,绑定到\\Device\\Tcp,\\Device\\Udp,\\Device\\RawIp设备栈上。 设置dispatch分发函数处理创建,清理和内部外部DEVICE_CONTROL设置irp请求。 2.create请求 在create请求中获取进程名,pid上抛应用层。 应用层createfile时,在EaBuffer中传递传输层操作指...
ZwReadFile读TXT文件
十年磨一剑,霜刃未曾试!
10-25 4942
开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATUS ntStatus; OBJECT_ATTRIBUTES object_attributes; UNICODE_STRING uFileName=RTL_CONSTANT_STRING(L"\\??\\C:\\po
伺服驱动系统的电磁干扰问题
weixin_45479949的博客
05-25 4131
伺服驱动系统的电磁干扰问题 概述 电磁干扰是一个影响伺服驱动器及其周围电气设备的问题,它可能会导致一些不便: 反馈设备的读数不正确会导致控制问题和电机故障。 通信问题和数据丢失或同步。 对伺服驱动系统附近周围电路的干扰。 不符合电磁兼容性 (EMC) 标准。 幸运的是,了解本文档中介绍的模型的问题应该允许在系统设计阶段(首选)或现场通过简单的操作来解决大多数EMC问题。本文档旨在展示一个框架来理解和解决问题,而不是再次重复模糊的经验法则,例如连接保护接地,屏蔽电缆或添加铁氧体。 了解驱动器上的
数据驱动的人体皮肤检测方法的研究及实验结果分析
liguanbin@mail.sysu.edu.cn摘要输入GMM UNet Ours GT在本文中,我们提出了一种新的数据驱动的方法,从一个单一的人体肖像图像的鲁棒的皮肤检测。与以往的方法不同,我们将人体作为一个弱语义指导到这个任务中,考虑...
文件过滤驱动开发
yujiankk的专栏
11-01 8600
文件过滤驱动 一、文件透明加解密 关键字:透明、文件过滤驱动、加密标识,缓存   文件过滤驱动最重要的两点是搞定加密标识和缓存管理 1、透明概念: 透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样。      透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加
TDI过滤驱动分析
chenyujing1234的专栏
07-31 4109
转载自: http://www.cnblogs.com/welfear/archive/2011/02/14/1954454.html   1、介绍 1、1 TDI驱动作用 TDI协议驱动主要应用于版本号在nt4至nt5之间的操作系统,本文档对TDI驱动的分析主要参考nt4所提供 的TDI驱动。TDI是Transport Driver Interface首字母缩写,主要提供网络层协议和
应用层和驱动层的同步与异步的处理逻辑及底层实现
程序员人生
02-20 2604
应用层的实现: 1ReadFile、WriteFile、DeviceIoControl等,这些都有两种操作方式,一种是同步,一种是异步。 操作设备的Win32API主要是这3个函数ReadFile、WriteFile、DeviceIoControl 以DeviceIOControl为例,它的同步&异步操作如下: 同步操作时,它的内部会创建一个IRP_MJ_DEV
TDI code 1
清风专栏
05-12 1013
2009-01-13 15:36////// NewbieCoder[0GiNr]//// 15:36 2009-1-13//// http://0ginr.com////#include #include #define XHR_IS_BIG_COW_TAG XHR_#define TCP_DEVICE_NAME_W L"//Device//TCP"NTS
分析-ReadFile读取物理磁盘参数错误(87)问题
柳似烟的专栏
06-18 3120
Windows读取物理磁盘很简单,通过文件操作相关API即可实现,如: handle = CreateFileA("\\\\.\\physicaldrive0",...); ReadFile(handle,...); CloseHandle(handle);
发点TDI通信的东东
zcg19的专栏
03-11 1445
/***************************************************************************//*创建上下文句柄....RtlCopyMemory(Ea->EaName, TdiConnectionContext, Ea->EaNameLength + 1); /*CHAR Buffer[sizeof (FILE_FULL_EA_INFO
【转帖】驱动编程学习笔记之IO处理
floweronwarmbed的专栏
11-03 1796
 典型的i/o处理过程=================操作系统将所有的i/o请求都抽象成针对一个虚拟文件的操作,从而掩盖了“一个i/o操作的目标可能不是一个文件结构的设备“这样的事实。这一抽象也使得应用程序对待设备的接口变得泛化。用户模式api   |i/o系统服务api(Ntxxx)   |i/o管理器(Ioxxx)   |内核模式设备驱动程序------驱动程序支持例程(Io,
阴沟里翻船之KeSetEvent
vbsourcecode的专栏
02-25 9848
阴沟里翻船之KeSetEvent KeSetEvent是个使用频率很高的内核支持函数,但经常使用未必意味着确实了解它。上周就曾遇到一件怪事,系统线程在调用KeSetEvent后线程IRQL竟然从PASSIVE_LEVEL提升至DISPATCH_LEVEL,以至后续的操作出错:Bug Check 0xA: IRQL_NOT_LESS_OR_EQUAL。 先看看它的函数声明:
KeWaitForSingleObject简析
pureman_mega的博客
12-29 5444
这个函数在进行同步操作时经常会用到,它内部的工作流程是什么样的呢?让我来试着分析分析吧. (以反编译的汇编代码片段为材料)NTSTATUS KeWaitForSingleObject( IN PVOID Object,//分发器对象(dispatcher object),像(event,mutex,semaphore,thread or timer) IN KWAIT_REASON
Windows文件系统过滤驱动开发实战
这个教程是针对有一定驱动开发基础的开发者,提供了一个逐步深入学习文件系统过滤驱动开发的指南。通过学习,开发者可以掌握如何在Windows系统中构建自己的文件系统监控和管理机制,以满足安全、日志记录、性能优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值