在应用层读写文件等操作将通过 INT 2E
切换到内核层。这个不用说大家都很熟悉流程。那么到了内核层又是如何处理的?就先拿 ZwReadFile,ZwWriteFile 说事。首先将文件句柄转换成
FILE_OBJECT 指针。这时 I/OMGR 收到一个 FILE I/O 请求,它将首先选择用 FASTIO 接口来进行缓冲操作(注意:FASTIO 对于
FSD 来说不是必须的。且 FASTIO 并不真正读写内容)如果有 FASTIO 例程则调用
FastIoRead,FastIoWrite。在它们的函数处理例程中返回 TRUE 那么则表示操作完成,继续调用 CC MGR。如果返回 FALSE 那么
I/O MGR 则创建 IRP 。系统判断 FILE_OBJECT 结构中的PrivateCacheMap 项如果不为 NULL,表示已被 CC MGR
映射过了,调用CcCopyRead,CcCopyWrite。如果为 NULL 那么 CC MGR 会调用 CcInitializeCacheMap
来初始化,把相应的 FILE_OBJECT 映射进来。在经过 I/O MGR 处理后无论是 IRP 还是 FASTIO,怎么分支都会走到CC MGR。那么在
CC MGR 中又会碰到几个状况。如 CC MGR 的 LAZY WRITETHREAD 会定期调用 MM MGR 的 MmFlushSection 将 CC
MGR 中已被修改的PAGE 发送到 FSD 写盘。而 MM MGR 又有几种状况,先拿写来说。MM MGR 存在 DIRTY WRITE 那么在这种情况下
bitscn.com
MM MGR 则调用 IoAsynchronousPageWrite向 FSD 发送 NOCACHE IRP 即 IRP HEADER 的 FLAGS 为
IRP_NOCACHE 来写盘。也就是说 CC MGR 调用 MM MGR 的 MmFlushSection 而 MM MGR
则调用IoAsynchronousPageWrite 发送 NOCACHE IRP 到 FSD,那么 FSD 则直接发送到 STORAGE DRIVER
进行写盘操作。这是写盘操作过程。在走到 CC MGR 后读盘又分几种状况。在调用 CcCopyRead 时如果数据不在 CC MGR 中,则产生缺页中断(这其实也是预先读机制)。产生缺页中断后会走到MM
MGR 。此时 MM MGR 调用 IoPageRead 来发送一个 PAGING I/O 的 IRP 即 IRP HEADER 中的 FLAGS为
IRP_PAGING_IO 或 IRP_SYNCHRONOUS_PAGING_IO 到 FSD。还有就是用户层调用 CreateFileMapping
其实是调用 NtCreateSection 一样产生缺页中断然后到MM MGR 调用
MmCreateSection。其余就跟我上面提到的流程一样了。待一些读/写 IRP 发送到 FSD 时。 FSD 再调用 IoCallDriver
继续传递下去。如果你对NT DRIVER 分层机制了解的话。可能就会理解为什么要有这一步。
精简系统盘及系统镜像制作经验谈