77.windbg-!drvobj、.devstack(驱动对象,设备栈,AttachedDevice)

最新推荐文章于 2023-01-30 23:00:00 发布
最新推荐文章于 2023-01-30 23:00:00 发布
阅读量2.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hgy413/article/details/77045157
本文介绍了驱动程序中设备栈的概念及工作原理,包括物理设备对象(PDO)、功能驱动对象(FDO)等,并通过实例展示了如何使用Windbg命令查看设备栈。

引言

      

驱动的设备栈可以参看:http://blog.youkuaiyun.com/hgy413/article/details/17737517,如下:

驱动设备的创建顺序是,先创建底层PDO,再创建高层的FDO,PDO和FDO之间可能夹杂着各种过滤驱动,每次的设备对象由不同驱动程序所创建,有的驱动程序是系统自带的,有的需要程序员来编写,底层设备对象寻找上层的设备对象,是依靠底层设备对象的AttachedDevice寻找的,如果某一设备的AttachedDevice为空,说明已经到了设备堆栈的顶部,而高层设备找低一层的设备对象,只能能过设备扩展来记录,如下图:


   

PDO:物理设备对象,由总线(BUS)创建

FDO:功能驱动对象,实现PDO的某些功能

FIDO:可插入由PDO-FDO组在的设备栈中,参与IRP处理

CDO:控制设备对象,不对应真实/逻辑的物理设备,我们大部分是写这种,一般来讲,一个驱动程序只会创建唯一的功能设备对象, 功能设备对象一般不用来处理具体的物理设备功能,仅仅作为 驱动程序的编程接口,与其他模块交互

   

设备栈 

1.系统中的I/O请求虽然发送给指定的设备对象,但请求却是通过 设备栈来传递的

2.最上层的设备对象首先获得机会处理请求,然后传递给下层设 备对象。如果上层设备对象处理完请求,则可以拒绝将命令继 续下传,下层设备对象就失去了处理的机会
 
3.功能设备对象会完成大多数的工作,只把部分I/O请求传递给物 理设备对象。  I/O请求在设备栈中传递完毕后,还会有一次从栈底开始的逆向 回调过程,进行完成后操作

4.过滤设备对象可以把自己插入到设备栈中任意位置,过滤顺向 的IO请求包,或者逆序的回调过程。多个过滤设备对象可以叠 加

       

!drvobj 

!drvobj 扩展命令显示DRIVER_OBJECT 的详细信息。
Flags
(Windows 2000和之后) 可以是下面这些位的任意组合。(默认为0x01)
Bit 0 (0x1)
显示驱动拥有的设备对象。
Bit 1 (0x2)
显示驱动的dispatch例程的入口点。
Bit 2 (0x4)
显示驱动的设备对象的详细信息(需要设置bit 0)
以打印机驱动为例: 

0: kd> !drvobj parport
Driver object (89a48ce8) is for:
 \Driver\Parport
Driver Extension List: (id , addr)

Device Object list:
895e3040  8969d030
等同于 
0: kd> !drvobj \Driver\Parport
Driver object (89a48ce8) is for:
 \Driver\Parport
Driver Extension List: (id , addr)

Device Object list:
895e3040  8969d030
等同于 
0: kd> !drvobj 89a48ce8
Driver object (89a48ce8) is for:
 \Driver\Parport
Driver Extension List: (id , addr)

Device Object list:
895e3040  8969d030
   

!devstack

!devstack 扩展显示设备对象关联的设备栈的格式化后的信息。
DeviceObject
指定设备对象。可以是DEVICE_OBJECT 结构的16进制地址或者设备名。
以上面为例: 
0: kd> !devstack 895e3040
  !DevObj   !DrvObj            !DevExt   ObjectName
> 895e3040  \Driver\Parport    895e30f8  Parallel0
!DevNode 899ce970 :
  DeviceInst is "LPTENUM\MicrosoftRawPort\6&16ccfde1&0&LPT1"
0: kd> !devstack 8969d030  
  !DevObj   !DrvObj            !DevExt   ObjectName
> 8969d030  \Driver\Parport    8969d0e8  ParallelPort0
  89a56bb8  \Driver\ACPI       89bfeb30  00000071
!DevNode 89a56728 :
  DeviceInst is "ACPI\PNP0400\5&324d5432&0"
  ServiceName is "Parport"
从上面可以看到设备栈,它的底层设备栈是89a56bb8,对应的驱动是ACPI,
我们来看看ACPI一共创建了多少个设备: 
0: kd> !drvobj \Driver\ACPI
Driver object (89c5c8b0) is for:
 \Driver\ACPI
Driver Extension List: (id , addr)


Device Object list:
89ba9870  89ba9988  89ba9aa0  89ba9bb8
89ad59a0  89ad5ab8  89ad5bd0  89ad5ce8
89ad5e00  89ad5f18  89ad5030  8971c2b0
8971c3c8  8971c4e0  8971cce8  8971ce00
8971cf18  89a87208  89ae4770  89ae4888
89ae49a0  89ae4ab8  89ae4bd0  89ae4ce8
89ae4e00  89ae4f18  89a63540  89a63658
89a63770  89a63888  89a639a0  89a63ab8
89a63bd0  89a63ce8  89a63e00  89a63f18
89c14658  89c14770  89c14888  89c149a0
89c14ab8  89c14bd0  89c14ce8  89c14e00
89c14f18  89bab4c8  89c46db0  89c10f18
89baa6b8  89bf91f8  89c471f8  89aa74e8
89b94378  897068a8  8972d218  89bcb1a8
89be01a8  89bf51a8  89c11e70  89c11920
89c5c520  
有点多啊,它们分布在不同的设备栈中,随便取个看看,比如第三个: 
0: kd> !devstack  89ba9aa0
  !DevObj   !DrvObj            !DevExt   ObjectName
  8970f030  \Driver\serenum    8970f0e8  
  89b84638  \Driver\Serial     89b846f0  Serial0
> 89ba9aa0  \Driver\ACPI       89c474a0  00000074
!DevNode 89ba9608 :
  DeviceInst is "ACPI\PNP0501\1"
  ServiceName is "Serial"
来看看AttachedDevice,当一个FDO附加在一个PDO上时,PDO的AttachedDevice会记录FDO的位置,PDO会被称为底层驱动或下层驱动,而FDO会被称为高层驱动或上层驱动,越上层越接近发出IO请求的地方,如上面, 
0: kd> dt 89ba9aa0 _DEVICE_OBJECT -y AttachedDevice
nt!_DEVICE_OBJECT
   +0x010 AttachedDevice : 0x89b84638 _DEVICE_OBJECT
0: kd> dt 89b84638 _DEVICE_OBJECT -y AttachedDevice
nt!_DEVICE_OBJECT
   +0x010 AttachedDevice : 0x8970f030 _DEVICE_OBJECT
0: kd> dt 8970f030 _DEVICE_OBJECT -y AttachedDevice
nt!_DEVICE_OBJECT
   +0x010 AttachedDevice : (null)
可以看到_DEVICE_OBJECT的AttachedDevice可以从下向上遍历设备栈,而设备栈中每一层设备都分属于不同驱动,而_DEVICE_OBJECT的NextDevice可以遍历当前驱动创建的所有设备,这是两个不同的概念

































《格蠹汇编》读书笔记—windbg的使用(中)
u012138730的专栏
09-09 722
笔记本唤醒失败的原因探究(16章) 1)如何产生dmp文件 方法在前一章说过https://blog.csdn.net/u012138730/article/details/90547384 当唤醒失败了以后,按ctrll+scrolllock 强制蓝屏(需要注册表的设置) 然后就有dmp文件可以分析了。 2)一些常规的命令 分析dmp文件的时候的一些常规操作,之前也介绍过。 设置调试符号路径 .symfix c:\symbols 自动分析 !analyze -v 3)进一
windbg 驱动对象命令
weixin_34240520的博客
04-10 343
 !devnode \DEVICE\{A4F74E3A-7A5D-4BFA-8B76-AC26F16DE201}Dumping IopRootDeviceNode (= 0x81ebdce0)DevNode 0x81ebdce0 for PDO 0x81ebde18  Parent 0000000000   Sibling 0000000000   Child 0x81ebd840  Instan...
windbg指令-!drvobj
若水的专栏
06-06 4374
!drvobj!devobj!podev!devstack"!drvobj Driver Name | PDRIVER_OBJECT pointer" 列出这个驱动创建的所有设备。kd> !drvobj /Driver/i8042prtDriver object (82158040) is for: /Driver/i8042prtDriver Extension List: (id ,
windbg常用查看设备command
a3125504x的博客
09-15 840
1.!devnode    显示设备节点 2.!devobj       显示设备对象信息,后面可根据参数决定信息内容 3.!drvobj        显示驱动对象信息 4.!devstack   显示设备对象!devnode !devnode Address [Flags][Service] !devnode 1 !devnode 2 !devnode扩展显示设备树中
驱动对象 设备对象 设备 乱杂谈
jiurl的专栏
12-15 5779
驱动对象 设备对象 设备 乱杂谈作者: JIURL                 主页: http://jiurl.yeah.net         用有限的几句话就舒舒服服的建立起对驱动对象设备对象的概念是不可能的。刚开始是一片模糊,了解的多了,慢慢就清楚。下面的内容会使你对
DEVICE_OBJECT ;struct _DEVICE_OBJECT *AttachedDevice; // 附载的设备,与AttachedTo域构成双链表关系
autumn20080101的专栏
12-14 954
DEVICE_OBJECT  (2011-08-08 00:33:45) 转载▼ 标签:  杂谈   typedef struct _DEVICE_OBJECT {     CSHORT Type;     USHORT Size;     LONG ReferenceCount;
SFilter框架理解
zhuhuibeishadiao
04-18 8403
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
windbg查看设备设备树学习总结
bcbobo21cn的专栏
06-29 3517
windbg寻找设备树根节点 http://blog.csdn.net/lixiangminghate/article/details/51729945     用ReactOS上明确说过,Pnp管理器对每种设备都会创建一个虚拟root device用于构建设备树;同时这个新创建的root device又作为一个设备底,往上形成完整的设备。用windbg调试时,可以看到这个虚
findstr /s "AttachedDevice" *.cpp
autumn20080101的专栏
12-14 567
findstr /s "AttachedDevice" *.cpp chapter22\FileFilter\DriverEntry.cpp:           if (!fido->AttachedDevice || (fi do->AttachedDevice->Flags & DO_POWER_PAGABLE)) chapter22\FileFilter\DriverEntry.cp
windbg : view nt!IoDriverObjectType
谢绝(无视)留言与私信
09-10 2331
/// 系统全局变量声明 extern POBJECT_TYPE *IoDriverObjectType; /// 未文档化API声明 /* kd> x nt!ObReferenceObjectBy* 805238bc nt!ObReferenceObjectByPointer = 805b1ab6 nt!ObReferenceObjectByHandle = 805b242
设备
ruanben的专栏
02-22 1107
结构底挂接 device移除 device 1. 结构 设备(Device Stack)结构与内存中的类似,但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。 如下图所示: 并且由每个 device 的 DeviceExtension.AttachedTo 值指向下一层的 device。从而形成
关于设备绑定的那些事
test
05-17 2390
据msdn上说绑定设备最开始是用的是IoAttachDeviceByPointer,其原型为NTSTATUS IoAttachDeviceByPointer( IN PDEVICE_OBJECT SourceDevice, IN PDEVICE_OBJECT TargetDevice );第一个参数为待绑定的设备,第二个参数为绑定的目标设备,返回值确定是否成功而取代IoAttachDeviceByPointer的则是IoAttachDeviceToDeviceStack与IoAttachD
DRIVER_OBJECT & DEVICE_OBJECT
Iqian1314的专栏
06-03 2565
驱动对象结构 DRIVER_OBJECT ,定义如下:(左侧为相对于结构体起始地址的偏移量)  struct _DRIVER_OBJECT (sizeof=168)  +00 int16 Type  +02 int16 Size  +04 struct _DEVICE_OBJECT *DeviceObject  +08 uint32 Flags  +0c void *DriverStart  +10 uint32 DriverSize  +14 void *DriverSection(即为PsLoadedM
驱动对象设备对象设备----驱动程序基础概念(一)
ierent168的博客
07-28 687
   刚开始接触驱动的时候,总是搞不清楚驱动对象设备对象设备等等基本概念,所以对驱动的开发也总是会出现一些奇怪的错误。但想要一下子说明白这些基本结构,也不是一件容易的事,最好的办法就是接触多了,了解多了,慢慢会清楚的。这里做一个总结,也希望能对初学者有所帮助。       一、 为了后面的叙述方便,首先列出驱动对象设备对象的结构。       1.1 驱动对象结构 DRIVER_
驱动程序层次结构、PIRP结构、IO_STACK_LOCATION结构
Iqian1314的专栏
06-03 4836
<br />一、驱动程序层次结构<br /> <br />在《Windows驱动开发详解》的第四章简单介绍了一下驱动程序的层次结构,但介绍得不清不楚,反复看了几遍,仍然是一分清楚,九分糊涂。为此,花了几个小时来查阅相关资料,最后分别参考《Windows驱动开发详解》和《Windows操作系统原理第2版》,才算有了个初步的认识。<br /> <br />要想详细解释驱动程序的层次结构,以我现在的水平可能还没那个能力,但或许能通过文字的形式让自己多一分认识。<br /> <br />1.再看DriverEntr
windbg抓一个windows蓝屏分析
热门推荐
猫哥 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS,AIOT)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
windbg 查看设备信息
王俊超 专栏
09-05 4961
1. 相关命令 !devobj 查看设备对象信息 !drvobj 查看驱动对象信息 !devstack 查看设备 2. 系统设备!devnode 0 1 kd> !devnode 0 1 Dumping IopRootDeviceNode (= 0x865b1ee8) DevNode 0x865b1ee8 for PDO 0x865b1020 InstancePath i
文件,注册表过滤--Sfilter、Minifilter
05-16 2300
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
Windows驱动开发WDM
flyingleo1981的专栏
08-25 1448
Windows驱动 这次重新阅读《windows驱动开发技术详解》(张帆,史彩成等编著),写博客记录一下,用以加深自己对驱动的理解。 驱动对象(DRIVER_OBJECT) 每个驱动程序会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建的。 驱动对象用DRIVER_OBJECT来表示,内核对一个驱动只加载一个实例。对于DRIVER_OBJECT的说明,详见:http://msdn.microsoft.com/en-us/library/windows/h
windbg .symopt- 100
最新发布
08-23
我们正在讨论WinDbg中禁用符号加载优化选项(SYMOPT_100)的问题。SYMOPT_100是WinDbg的一个符号选项,它控制符号加载的行为。在WinDbg中,符号选项可以通过`.symopt`命令来查看和修改。SYMOPT_100的具体含义是:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值