再次理解IRP

最新推荐文章于 2023-02-10 17:28:10 发布
最新推荐文章于 2023-02-10 17:28:10 发布
阅读量295 收藏 1
点赞数
分类专栏: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90751806
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

我们处理IRP分两种情况,一种继续下发,一种结束,继续下发分两种,不管下发结果,一种是需要知道IRP执行结果,结束也分两种,成功和失败结果结束

过滤驱动与IRP处理方式

  1. IoCopyXXXX+完成例程(把IRP当前栈拷贝下去,为IRP设置一个完成例程,等待事件,当IRP下发之后,下层完成之后调用完成例程,发出信号通知完成例程,设置信号为有信号,所以上层就知道情况了)
  2. ioSkip+Iocall直接下发
  3. 结束IRP不下发
#define IoCopyCurrentIrpStackLocationToNext( Irp ) { \   
    PIO_STACK_LOCATION __irpSp;        \   
    PIO_STACK_LOCATION __nextIrpSp;    \   
    __irpSp = IoGetCurrentIrpStackLocation( (Irp) );     \   
    __nextIrpSp = IoGetNextIrpStackLocation( (Irp) );    \   
    RtlCopyMemory(__nextIrpSp, __irpSp, FIELD_OFFSET(IO_STACK_LOCATION, CompletionRoutine)); \     
    __nextIrpSp->Control = 0; }

 ioSkip就是先栈+1,iocall-1,就相当于直到下层栈了,而copy是要把这层栈拷贝到下层,因为还要返回完成信息。

IRP使用注意

当驱动将IRP已经IoCallDriver传递到下个驱动了,就不在拥有这个IRP权限了。如果想得到只能IoCompletion。若驱动的分发例程也还必须在IRP被下面驱动处理完成之后再处理他,IoCompletio例程必须返回STATUS_MORE_PROCESSING_REQUIRED,用来将IRP的所有权返回给分发例程。如此I/o管理器会停止IRP处理,将最终完成IRP的任务留给分发例程。分发例程能在之后调用IoCompleteRequest来处理这个IRP,或者还能标记这个IRP继续进一步处理。

我们关心这个IRP的处理结果 就用这个

Pending完成例程

IoCopyCurrentIrpStackLocationToNext  +完成例程

Pending完成例程

KEVENT event;
KeInitializeEvent(&event, NotificationEvent, FALSE);
IoCopyCurrentIrpStackLocationToNext(Irp);
IoSetCompletionRoutine(Irp,
CompRoutine,
&event,
TRUE,
TRUE,
TRUE
);
status = IoCallDriver(DeviceObject, Irp);
if (status == STATUS_PENDING) 
{
	status = KeWaitForSingleObject(&event,
Executive,
KernelMode,
FALSE,
NULL
);
ASSERT(NT_SUCCESS(status));
status = Irp->IoStatus.Status;
}

完成例程设置

NTSTATUS
CompRoutine(
    IN PDEVICE_OBJECT DeviceObject,
    IN PIRP Irp,
    IN PVOID Context
    )
{
    PKEVENT event = Context;
    Irp->UserIosb->Status = Irp->IoStatus.Status;
    Irp->UserIosb->Information = Irp->IoStatus.Information;
    KeSetEvent(event , IO_NO_INCREMENT, FALSE);
    //IoFreeIrp(Irp);
    return STATUS_MORE_PROCESSING_REQUIRED;
}

忽略直接下发

IoSkipCurrentIrpStackLocation,下层设备拿到的IO_STACKLOCATION 和当前的一样
 


PDEVICE_EXTENSION   deviceExtension;
IoSkipCurrentIrpStackLocation(Irp);

//拿到保存在设备扩展里的下层设备

 


deviceExtension = 
	(PDEVICE_EXTENSION) DeviceObject->DeviceExtension;

//下发
return IoCallDriver(
		deviceExtension->TargetDeviceObject, 
		Irp);

如果是不处理直接下发

 

PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation (Irp);
Irp->IoStatus.Status = STATUS_SUCCESS;
Irp->IoStatus.Information = 0;
IoCompleteRequest( Irp, IO_NO_INCREMENT );

手动构建IRP


IoAllocateIrp

IoGetNextIrpStackLocation

IoAllocateIrp /IoBuildDeviceIoControlRequest 

IoGetNextIrpStackLocation 

//例子:

//强制删除文件

//Sfilter里查询文件名字

 


错误的下发:
下发后就没有访问这个IRP的权限了 必须等待 和设置完成例程 例程中必须返回STATUS_MORE_PROCESSING_REQUIRED

// Forward request to next driver
IoCopyCurrentIrpStackLocationToNext( Irp );
// Send the IRP down
status = IoCallDriver( nextDevice, Irp );
// The following is an error because this driver
// no longer owns the IRP.
If (status == STATUS_PENDING)
{
	IoMarkIrpPending( Irp );//错误,无权操作Irp了
}
// Return the lower driver’s status
return status;

参考资料

https://blog.csdn.net/zhuhuibeishadiao/article/details/51179025

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IRP理解
小发猫
10-15 2552
IRP理解  驱动程序与I/O管理器通信,使用的是IRP,即I/O请求包。IRP分为2部分:1)IRP首部;2)IRP堆栈。IRP首部信息如下:IRP首部:IO_STATUS_BLOCK IoStatus         包含I/O请求的状态 PVOID AssociatedIrp.SystemBuffer 如果执行缓冲区I/O,这个指针指向系统缓冲区 PMDL MdlAddress     
IRP概述
残酷な天使
04-21 691
<br /><br />原文地址:http://hi.baidu.com/noah1618/blog/item/a946368215a0e6b86d8119fc.html<br /><br /><br />一、简述<br />任何内核模式程序在创建一个IRP时,都同时创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序,另外还有一个堆栈单元供IRP的创建者使用。堆栈单元中包含该IRP的类型代码和参数信息以及完成函数的地址。IRP的Curren
自己发送IRP进行文件操作
weixin_34029949的博客
04-27 142
在驱动中我们可以自己发送IRP进行Create,Write,Read等操作. 作为初学者,这有点难度. 附件中对这些操作进行了详细的解答. 转载于:https://blog.51cto.com/laokaddk/73741...
I/O Request Packet
zhuo_zhibin的专栏
09-14 5880
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
IRP说明
Augusdi的专栏
01-05 2752
<br />近来学习Windows内核方面的东西,觉得对I/O处理过程没有一个总体的概念。于是,就花了一点时间搜集了很多这方面的资料并自己总结了一下。下面说说我自己的理解。<br /> 在Windows内核中的I/O请求基本上是通过 I/O Request Packet (IRP)完成的。下面,我就来详细地说下IRP请求是怎么样一步一步完成的。<br /> 首先,我们就需要知道IRP是怎么产生。IRP是由I/O管理器发出的,I/O管理器是用户态与内核态之间的桥梁,当用户态进程发出I/O请求时,I/O管理器就
IRP
qq_22038209的博客
01-04 1133
IRP ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
IRP structure
Vinx Blog
07-14 432
UID: NS:wdm._IRP title: “_IRP” author: windows-driver-content description: The IRP structure is a partially opaque structure that represents an I/O request packet. Drivers can use the following m...
IRP简介
XinhuaSoft
01-30 1684
IRP是一个内核“对象”,它是一个预定义的数据结构,带有一组对它进行操作的I/O管理器例程。I/O管理器接收一个I/O请求,然后在把它传递到合适的驱动程序栈中的最高驱动程序之前,分配并初始化一个IRP。一个IRP有一个固定的首部和可变数目的IRP栈单元块。IRP栈为向下生长的栈,具有先进后出的特点。IoGetCurrentIrpStackLocation获取指向当前栈单元的指针。 在许多情况下,使
漫谈IRP
weixin_30662011的博客
04-17 448
I/ORequestPacket(IRPIRP概述: IRP是由I/O管理器发出的,I/O管理器是用户态与内核态之间的桥梁,当用户态进程发出I/O请求时,I/O管理器就捕获这些请求,将其转换为IRP请求,发送给驱动程序。 I/O管理器无疑是非常重要的,具有核心地位。它负责所有I/O请求的调度和管理工作,根据请求的不同内容,选择相应的驱动程序对象,设备对象,并生成、发送、...
IRP详解
weixin_34151004的博客
01-07 577
IRP结构进行解释一个绝好资料. 推荐大伙看看参考一把. 转载于:https://blog.51cto.com/laokaddk/125081
windows驱动编程学习笔记——(三)IRP
知了112的专栏
02-10 1826
一,IRP的概念(I/O Request Package) 当一个应用程序调用函数去操作某个设备时,比如调用createFile,deviceIOControl,等等时,I/O管理器为此函数创建一个IRP数据结构对象和一个IRP_STACK_LOCATION数据结构对象数组,(数组个数等于驱动程序堆栈上驱动的个数),IRP中的CurrentStackLocation指向IRP_STACK_LOC
IRP】Windows 驱动之IRP
dr0op's blog
05-09 3578
什么是IRP: I/O request packets,简称IRP。即输入输出请求包。它是WINDOWS内核中的一种非常重要的数据结构。上层应用程序与底层驱动程序通信时,应用程序会发出I/O请求。操作系统将相应的I/O请求转换为相应的IRP。不同的IRP会根据类型被分派的不同的派遣历程中进行处理。 作用: 上层应用程序于底层驱动之间的通讯,即EXE程序和SYS之间的通讯。 应用程序 想要访问内核数据,必须通过IRP数据。又叫IRP请求,当应用程序和驱动交互时,发送一个IRP请求,IRP会在各层设备驱动个之间
从源码角度浅谈IRP
tatorey的博客
09-11 1403
从源码角度看IRP的构建一、前言1、写作目的2、参考资料二、文件加解密中的IRP应用1、概览2、什么是IRP3、StackSize、Attached、AttachedTo的分析4、什么是VPB5、irp的构建与派发6、完成历程的设置7、IoCallDriver函数的理解三、总结 一、前言 1、写作目的 最近研究了文件加解密的驱动代码,获益良多。其中在构建Post过滤函数上遇到了重新从当前设备发送请求查看数据中是否存在加密的代码操作,其中有几步代码看的我百思不得其解,毕竟是刚接触驱动编程的新手,于是乎查阅了《
内核-从IRP说起
最新发布
m0_74282605的博客
02-10 302
每次调用 IoCopyCurrentStackLocationToNext()函数,就将本层的IRP stack 放当下层的IRP stack顶端,当IoCompleteRequest函数被调用也就是IRP包被处理完成之后,IRP stack 会一层层堆栈向上弹出,如果遇到IO_STACK_LOCATION的CompletionRoutine非空,则调用这个函数,另外传进这个完成例程的 是IO_STACK_LOCATION的子域Context。对于不会处理的IRP包需要提供一个默认的分 发函数来处理。
搞明白IRP这个东东了
求索
05-18 4336
按照ms的步骤走了一遍,搞明白了,整点笔记记录一下,别忘了。 IRP的结构: [cpp] view plain copy print? typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP {      CSHORT Type;      USHORT Size;        //  
IRP 完成例程
八木的专栏
10-26 3293
  1.最高层驱动总是运行在发起该请求的程序所处的线程中。DriverEntry总是处在系统线程中,系统线程的空间不涉及到线性地址 0 - 2G。APC 是处在任意上下文中,它所在的线程取决于系统运行APC之前最后被挂起的那个线程。2. 所有不返回 STATUS_MORE_PROCESSING_REQUIRED的完成回调例程,需要使用下面的代码:NTSTATUS MyComplet
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值