IRP派遣操作

IRPTrace工具跟踪IRP

派遣函数(Dispathc Funtion)是windows驱动中的重要概念。驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。用户模式下所有对驱动程序的I/O请求。全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会派遣到不同的派遣函数中。
IRP(I/O Request Package) 和windows应用程序的消息处理机制相似。 IRP中一个MajorFunction, 其保存派遣的函数
如:
pDriverObject->DriverUnload = HelloDDKUnload;
pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;

处理这些IRP最简单的方法是在相应的派遣函数中将IRP的状态设置为成功, 结束IRP请求(IoCompleteRequest).

IRP_MJ_CLEANUP 清除工作,CloseHandle会产生此IRP
IRP_MJ_CLOSE   关闭设备,CloseHandle会产生此IRP
IRP_MJ_CREATE  创建设备,CreateFile会产生此IRP
IRP_MJ_DEVICE_CONTROL DeviceloControl 函数会产生此IRP
IRP_MJ_INTERNAL_DEVICE_CONTROL  该IO代码用来与其他驱动之间的通讯
IRP_MJ_PNP   即插即用消息
IRP_MJ_POWER 操作系统处理电源消息时产生此IRP
IRP_MJ_READ  读取设备内容,ReadFile产生此IRP
IRP_MJ_SHUTDOWN 关闭系统前会产生此IRP
IRP_MJ_SYSTEM_CONTROL 系统内部产生的控制信息类似于内核调用eviceloControl函数
IRP_MJ_WRITE 对设备进行WriteFile时会产生此IRP

最简单的处理全部返还成功。

#pragma PAGEDCODE
NTSTATUS HelloDDKDispatchRoutin(IN PDEVICE_OBJECT pDevObj,IN PIRP pIrp)
{
    KdPrint(("Enter HelloDDKDispatchRoutin\n"));

    PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);

    NTSTATUS status = STATUS_SUCCESS;
    // 完成IRP
    pIrp->IoStatus.Status = status;
    pIrp->IoStatus.Information = 0;    // bytes xfered
    IoCompleteRequest(pIrp, IO_NO_INCREMENT);

    KdPrint(("Leave HelloDDKDispatchRoutin\n"));

    return status;
}
时间: 2024-10-11 03:34:53

IRP派遣操作的相关文章

IRP 与 派遣函数

什么是派遣函数: 派遣函数是 WIndows 驱动程序中的重要概念.驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的.也就是说,派遣函数是用来处理驱动程序提交过来的 I/O 请求. 那什么是 I/O 请求呢? 上层程序与驱动程序之间通信时,上层会发出I/O请求,即输入输出请求包(I/O Request package) 用户模式下(上层)与所有驱动程序之间的I/O请求,全部由操作系统转化为一个叫 IRP 的数据结构,不同的 IRP 会被派遣到不同的派遣函数(Dis

Ring0级的探索

内核基础知识介绍: 内核概述:Interx86系列处理器使用"环"的概念实施访问控制,共4个权限级别.一般情况下,操作系统的内核程序.驱动程序等都在Ring0级别上运行.研究内核漏洞,需要首先掌握一些内核基础知识.例如内核驱动程序的开发.编译和运行,以及内核中重要的数据结构等. 驱动编写之Hello World 代码,保存为Helloworld.c 路径 D:\0day\HelloWorld\helloworld.c #include <ntddk.h> #define D

驱动程序简单开发

我们学习程序设计,都是从“Hello World”开始的,驱动程序也不例外,今天我就写一个驱动版的“Hello World”来热热身,目的希望大家能对驱动程序的基本框架有所了解. 驱动程序分为2类,一个是Kernel模式驱动,另一个是Windows模式驱动,2种模式本质是相同,但细节不同,本文介绍的是内核模式驱动和驱动程序的安装.使用. 驱动程序同普通的EXE,DLL一样,都属于PE文件,而且都有一个入口函数.但EXE中,入口函数是main()/WinMain()和Unicode的wmain()

驱动程序入门篇

驱动程序分为两类: 一个是 Kernel(内核) 模式驱动,另一个是 Windows (用户窗口层)模式驱动. 这两种模式本质是相同,但细节不同.本文介绍的是内核模式驱动和驱动程序的安装与使用. 驱动程序同普通的 .exe,.dll 一样,都属于 PE 文件,而且都有一个入口函数.但 .exe 中,入口函数是 main() / WinMain() 和 Unicode 的 wmain() / wWinmain(),.dll 的入口函数则可有可无,它是 DllMain(). 所以驱动程序也有入口函数

若水软件论坛过游戏驱动保护视频教程

课程分四个大章节:?1.初级篇,2.中级篇,3.进阶篇,4.高级篇 初级篇1.VS2003/2008/VC6.0编译驱动A.VS2003驱动编译环境配置B.VS2003集成环境下编译一个简单的驱动2.创建一个卸载例程A.认识PDRIVER_OBJECT结构B.卸载例程回调函数构建C.查看卸载例程调试信息3.添加设备例程A.认识驱动对象DRIVER_OBJECTB.认识设备对象DEVICE_OBJECTC.添加创建设备的例程D.用工具查看驱动及驱动设备4.添加删除设备例程A.删除符号链接B.删除设

转 枚举设备栈

hello.h #pragma once #include <ntddk.h> #define CountArray(Array) ( sizeof(Array) / sizeof(Array[0]) ) typedef struct _DEVICE_EXTENSION { PDEVICE_OBJECT pDevice; //设备对象 UNICODE_STRING ustrDeviceName; //设备名称 UNICODE_STRING ustrSymLinkName; //符号名称 }DE

驱动程序进阶篇

我们学习程序设计,都是从"Hello World"开始的,驱动程序也不例外,今天我就写一个驱动版的"Hello World"来热热身,目的希望大家能对驱动程序的基本框架有所了解.           驱动程序分为2类,一个是 Kernel(内核) 模式驱动,另一个是 Windows (用户窗口层)模式驱动,2种模式本质是相同,但细节不同,本文介绍的是内核模式驱动和驱动程序的安装.使用.           驱动程序同普通的 EXE,DLL 一样,都属于PE文件,而且

Device Drivers

Types of Device Drivers Windows可能会有User-mode的驱动,但是我们只关注Kernel-Mode的驱动. WDM Drivers WDM是一种驱动模型,是比较常用的驱动模型. WDM可以分为以下几类: Bus Drivers 负责检测到连接到该总线的设备的与PnP/Power相关的事件,并且通知IO Manager, PnP Manager, Power Manager. Function Drivers 负责某一具体设备的driver,是狭义上的driver

内核编程学习小结

The road to success was trial and error development, recompilation, and lots of crashes. 寒假过去一个月,计划很多时候也没法跟上.不过总体上来说,还是学习和收获了一些东西的.过去的事情不能改变,所以也不必过于纠结和懊悔.假期的前期还计划对英语进行系统性的学习,我个人任务是画错时间,用错力了,看专业英语的时间完全可以用开翻译与内核编程有关的开发文档,这样更有意义一些,在发现问题后也没办法放下,这是很不好的一个缺