IRP是驱动程序中重要的数据结构,可以说驱动程序的运行是由IRP所“驱动”的。在驱动程序中,仅凭查看log信息有时候是不能满足调试需要的,程序员往往需要更直观地跟踪IRP的传递、转发、结束等操作。
有时候IRP的处理非常复杂,跟踪IRP显得尤为重要。这里介绍一个工具软件IRPTrace,这个软件可以从网上下载试用版或者购买完整版。
以下简单介绍一下该软件的使用方法。
(1)用IRPTrace 跟踪各类 IRP
或者选择菜单“Mesmage”|“Hook Setup”。然后会弹出一个窗口,
如下图所示,选中左边的“Driver”选项卡,程序会枚举出系统加载的所有驱动程序。
在本例中,选中驱动程序 HelloDDK,这时,右面会列出需要跟踪的IRP类型,
选择“ALL”。
或者选择菜单“Mesnge”|“Clear IRP 1og”,将前面的log信息清除,至此,已经做好了跟踪前的准备。下面所要做的就是执行之前“通过设备链接打开设备”这节的应用程序,IRPTrace会自动跟踪IRP。
(2)用IRPTace 观察IRP数据结构中的各项内容。
将IRPTrace 程序最小化,执行“通过设备链接打开设备”中的应用程序会发现有三个IRP被跟踪下来,分别是IRP_MJ_CREATE、IRP_MJ_CLOSE、IRP_MJ_CLEANUP,这和预期的完全一致。程序左边列出了跟踪到的IRP,右边会列举出具体的IRP跟踪信息示。
从图中可以査看IRP_MJ_CREATE的详细信息。首先程序列出IRP数据结构的指针该地址是内核模式下的地址,所以是4GB 空间中的高 2GB 部分,紧接着列出了IRP的主类型和子类型。然后列出的是 Target Device,这是 IRP 发送到设备栈中遇到的第一个设备。然后列出的是IRP的完成状态,这个例子中的完成状态是,这个例子中的完成状态是 STATUS_SUCCESS。然后列出的是该IRP是出自于哪个进程和哪个线程,在本例中IRP是出自 Test.exe 进程中的0x7f8号线程。
(3)观察IRP的每层I/O堆栈
最后我们还能査看IRP请求是如何被结束的,本例中IRPTrace指出IRP是在HelloDDK驱动程序中被结束的,位置是 HeloDDK.sys!+40EEh。有兴趣的同学可以对HelloDDK 进行反汇编,可以看出调用 IoCompleteRequest 的位置恰恰就是 40EEh 位置。
除了查看 IRP 相关信息,IRPTrac 还可以査看IO_STACK _LOCATION 信息。单击 Stack Locations 的超链接,得到详细信息。
(4)设置符号表
需要指出的是,IRP请求是在HelloDDK.sys!+40EEh的位置被结束的,但很难知道HelloDDK.sys!+40EEh这个位置对应源代码的什么位置。如果想将这个地址与源程序中位置对应起来查看,需要正确设置驱动程序的符号表。微软的编译器在编译程序时会生成符号表文件,它可以将行号,变量名等和二进制代码的偏移位置对应起来。符号表一般存储在pdb文件中。驱动程序被编译后,都会伴随产生一个相应的pdb文件。
选择“Tools”|“Terminal Option” | "Symbols",出现图4所示的界面,将次驱动对应的pab的路径加入到符号表路径中。
这样就完成了对符号表的配置。HelloDDK.sys!+40EEh被替换成了HelloDDK.sys!HelloDDKDispatchRoutine+8D(F7A610EE)。
另外,IRPTrace还可以再系统启动时就进行跟踪。选择菜单“Tools" |"IRPTrace Driver Control",会弹出一个对话框如图5所示。
如果需要在系统启动时跟踪 IRP,请选择“Startup Type”下拉菜单中“Boot”。
IRPTrace会非常详细的列出IRP的处理过程,这有利于程序员跟踪 IRP。
以后会介绍更多的跟踪工具,利用这些工具,程序员既可以方便的跟踪调试驱动,
同时又可以加深对内核的了解。
扫一扫
1362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
