关于“IRP_MJ_CREATE ” 的Dispatch中判断FileObject是文件还是目录问题

最新推荐文章于 2019-12-12 10:51:01 发布
最新推荐文章于 2019-12-12 10:51:01 发布
阅读量1.2k 收藏
点赞数
分类专栏: 驱动 常识 文章标签: file attributes object filter system application
本文详细解释了在滤波驱动程序中如何通过I/O堆栈位置判断一个FILE_OBJECT是否代表文件或目录,强调了在成功创建文件后询问底层文件系统的重要性,特别是对于那些需要区分文件和目录的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当Ring3 CreateFile发起对某个文件对象的请求时,如:C:/Program Files/Microsoft Visual Studio/VC98/LIB/LIBC.lib"。请求进入Ring0,Fs会把该请求生成多个IRP_MJ_CREATE,逐层的打开目录对象,直至到目标文件LIBC.lib,所以在
IRP_MJ_CREATE的Dispatch中的IrpSp->Parameters.Create.Options & FILE_DIRECTORY_FILE可以判断到达目标文件对象前的那些请求,肯定就是目录。

 

    注意:但在IRP_MJ_CREATE的Dispatch中无法使用IrpSp->Parameters.Create.Options & FILE_DIRECTORY_FILE来判断目标文件对象(LIBC.lib)是文件还是目录,得将IRP传递到底层后,在完成例程中判断目标文件对象是文件还是目录。而上述是因为目标文件前的一定是目录,所以可以判断。
待续~

参考:

Osr

Q58 How do I determine if the FILE_OBJECT represents a file or a directory from my filter driver? Can I rely upon the FILE_DIRECTORY_FILE bit? 
http://www.osronline.com/article.cfm?article=17#Q58

 

The determination of whether or not a given FILE_OBJECT represents a directory is the sole domain of the file system driver. Thus, for a file system filter driver to determine if a file is a directory, it must ask the file system. This can be done by querying the attributes of the file (e.g., after it has been successfully opened by the underlying file system) or by examining the attributes within the directory, which can be done before the underlying file has been opened.

Options specified during create are not adequate for determining if a file is, in fact, a directory. For example, an application may optionally specify that the file being opened must be a directory by setting the FILE_DIRECTORY_FILE option as part of create (this is a bit in the I/O Stack location, Parameters.Create.Options, the low 24 bits of which are used for file options). If the file creation is successful, the file system filter driver can conclude that the FILE_OBJECT does represent a directory. If the file creation is successful and the caller did not specify FILE_DIRECTORY_FILE, however, the caller cannot presume that the file is a directory. The FILE_NON_DIRECTORY_FILE bit can similarly be used to determine that the given FILE_OBJECT does not represent a file.

There is one complication for those writing a file system filter driver - they must keep in mind that some file options now combine these two bits. For example FILE_COPY_STRUCTURED_STORAGE (which is not used but is still present in ntifs.h for Windows XP) is defined as FILE_DIRECTORY_FILE and FILE_NON_DIRECTORY_FILE.

Thus, the safest way to determine if a FILE_OBJECT represents a directory remains to ask the underlying file system.

如何在Minifilter驱动IRP中获取操作文件路径?
zj510的专栏
12-20 4934
如何在IRP中获取操作的文件路径?文件路径普通办法如何获取FileMapping操作在IRP_MJ_WRITE等IRP中的文件路径呢?IRP_MJ_CREATE获取文件路径并保存IRP_MJ_WRITE中获取路径 文件路径 在minifilter中,主要处理的是各种IRP,做DLP也好,做加解密也好。文件路径总是绕不开的。比如在IRP_MJ_WRITE中,绝大多数情况都得知道当前这次操作的文件路径...
《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day2
WocW的博客
05-07 573
文件系统的过滤与监控 文件系统的分发函数 11.2.1 普通的分发函数 ​ 上一节仅仅生成了控制设备,开发文件过滤驱动的主要工作还是撰写分发函数。在 DriverEntry 函数代码中,DriverObject 是参数驱动对象指针,现在来指定几个分发函数。SfPassThrough 负责所有不需要的处理,直接下发到下层驱动IRP。 for(i=0;i<IRP_MJ_MAXIMUM_FUN...
IRP_MJ_CREATE
weixin_30753873的博客
04-23 478
原文链接:http://laokaddk.blog.51cto.com/368606/125553/ MSDN:https://msdn.microsoft.com/library/windows/hardware/ff548630%28v=vs.85%29.aspx/ The I/O Manager sends the IRP_MJ_CREATE request when a...
[helloFirst] IRP_MJ_CREATE
autumn20080101的专栏
12-06 703
******************************************************************************* *                                                                             * *   You are seeing this message becaus
文件重定向(hook IRP_MJ_CREATE
whatday的专栏
09-12 3017
Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下: 1、在IRP_MJ_CREATE的分发函数中,获得FILE_OBJET的FileName属性。 2、用目标文件的完整路径替换原有的文件名字。这个全名,包括卷设备对象的名字(例如,Device/HardDiskVolume0/Directo
DDK中对IRP_MJ_CREATE的描述
myworldbig的专栏
07-24 5698
IRP_MJ_CREATE 参数:文件系统驱动或者文件过滤驱动调用IoGetCurrentIrpStackLocation来得到属于自己的站单元指针,下文中表示为IrpSp,(IRP表示为Irp。)下列信息是驱动程序在处理创建请求是可以使用的:DeviceObject 设备对象
irp注册关键函数
最新发布
03-26
设置IRP完成回调(需注意引用[1]中关于关联IRP的限制): ```c IoSetCompletionRoutine(Irp, MyCompletionRoutine, context, TRUE, TRUE, TRUE); ``` 3. **`IoCancelIrp`取消IRP** 当设备收到停止请求时调用...
<学习笔记>Windows驱动开发技术详解__IRP的同步
The New Old Things
10-08 4578
对设备的任何操作都会最终转化为IRP请求,而IRP一般都是由操作系统异步发送的。异步处理IRP有助于提高效率,但是有时异步处理会带来逻辑上的错误,这时需要将异步的IRP同步化。将IRP同步化的方法有StartIO例程,使用中断服务例程等。 应用程序对设备的同步异步操作
驱动之二】IO_STACK_LOCATION总结
seedluo815的专栏
05-03 1082
typedef struct _IO_STACK_LOCATION { UCHAR MajorFunction; UCHAR MinorFunction; UCHAR Flags; UCHAR Control; union { // // Parameters for IRP_MJ_CREATE // s
读懂常见IRP:IRP_MJ_CLEANUP/IRP_MJ_CLOSE/IRP_MJ_CREATE
07-13 5583
IRP_MJ_CLEANUP保持进程定义上下文信息的驱动器,必须在DispatchCleanup中包含cleanup请求。何时发送: 收到IRP_MJ_CLEANUP意味着请求的目标设备与目标文件的句柄相关(也可能因为io请求后没有释放)入参: 无出参: 无操作: 该IRP在关闭 file object 句柄的进程上下文中发送。因此,驱动器应该释放进程上下文中所指
irp追踪工具_CreateFile_进行通讯 打印主请求号
06-29 446
/************************************************************************ * 文件名称:Driver.h * 作 者:张帆 * 完成日期:2007-11-1 *******************************...
IRP_MJ_CREATE派遣例程里能获取的信息
GaA.Ra的自留地 in Csdn
03-30 4461
    在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.    详细说明的请参考下面代码框内容:/*++ 1.irpSp->Parameters.Create: struct { PIO_SECURITY_CONTEXT SecurityContext; ULONG Options; USHORT POINTER_ALIGNMENT FileAttributes; USHORT ShareAccess; U
Data->Iopb->Parameters.Create.Options & FILE_DIRECTORY_FILE 判断是否为路径
vingo888的专栏
02-13 5239
如何在minifilter 判断操作的文件对象目录还是文件呢?     有很多人发现答案是 Data->Iopb->Parameters.Create.Options &  FILE_DIRECTORY_FILE 是否成立    不过也有很多人发现,上面的方法并不能很好的工作,有时候操作的对象目录,上面的判断却没有成立。 --------------------------------
IRP操作文件填坑日记
zz_strive_2012的专栏
12-12 553
背景: 近段时间一个项目需要IRP操作文件.于是.搜索硬盘.把好几年前的代码找出来.说起这个代码,需要感谢黑月教主(achillis)和炉子.当时炉子开源了PsVoid. 里面就有Irp操作文件.但是抄了之后.win7蓝屏.当时水平太菜.只好在Q上麻烦教主帮忙.教主帮忙分析一番之后.于是网上就有了.那个经典的ULONG UnKnow[41]. 然后各个博客转载…当然了.当时我自己也先存了一份.不过...
自己构造 Create IRP
03-08 1256
NTSTATUS IrpCreate(IN PUNICODE_STRING Name,IN ACCESS_MASK DesiredAccess,IN ULONG FileAttributes,IN ULONG ShareAccess,IN ULONG CreateDisposition,IN ULONG CreateOptions,IN PDEVICE_OBJECT DeviceObject,IN
IRP操作文件
zz_strive_2012的专栏
10-25 1519
版权声明:本文为博主原创文章,未经博主允许不得转载。 [cpp] view plain copy #include       #ifndef MAX_PATH   #define MAX_PATH          260   #endif      NTSTATUS ObOpenObjectByPointer(PVOID Obje
IRP_MJ_CREATE是什么意思
03-15
<think>好的,用户想了解IRP_MJ_CREATE在Windows Driver Framework中的定义和作用。首先,我需要回忆一下WDF中的IRP处理机制。在WDM驱动中,IRP_MJ_CREATE通常用于处理文件对象的创建请求,比如当应用程序调用CreateFile时,系统会生成这个IRP。但在WDF中,框架对IRP处理进行了封装,可能通过I/O队列和事件回调来管理。 根据提供的引用内容,特别是引用[3],用户提到了KMDF驱动中如何设置EvtIoRead、EvtIoWrite等回调函数。类似地,IRP_MJ_CREATE应该对应某个特定的事件回调函数,可能在队列配置时设置。例如,在WDF_IO_QUEUE_CONFIG结构体中,可能有EvtIoCreate这样的成员来处理创建请求。 另外,引用[2]中提到驱动需要创建和打开I/O target,这可能与文件对象的创建有关联。当应用程序尝试打开设备时,IRP_MJ_CREATE会被发送到驱动驱动可能需要通过WdfIoTargetOpen来关联目标设备或文件,确保后续的I/O操作能够正确路由。 还需要确认IRP_MJ_CREATE的具体作用,它主要用于设备或文件的打开请求,驱动需要处理这个请求以允许后续的读写或控制操作。在WDF中,框架可能已经封装了默认的处理方式,但驱动开发者仍可以通过注册回调函数来自定义处理逻辑。 总结一下,IRP_MJ_CREATE对应创建请求的处理,在WDF中通过配置队列的回调函数(如EvtIoCreate)来实现,确保驱动能够响应应用程序的打开设备请求,并进行必要的初始化和资源分配。</think>### IRP_MJ_CREATE 的定义及作用 **IRP_MJ_CREATE** 是 Windows 驱动框架(WDF)中用于处理文件或设备对象创建请求的主功能码。当用户态应用程序调用 `CreateFile` 或类似 API 尝试打开设备时,系统会生成此类型的 I/O 请求包(IRP),并将其发送到驱动程序的相应处理函数[^3]。 #### 核心作用: 1. **设备/文件对象初始化** 当应用程序首次与设备交互时,IRP_MJ_CREATE 用于初始化设备上下文、分配资源(如内存缓冲区)或验证访问权限。例如,驱动可能需要检查调用方的权限是否满足设备操作要求[^2]。 2. **建立通信通道** 该请求为后续的读写(如 IRP_MJ_READ/WRITE)或控制(IRP_MJ_DEVICE_CONTROL)操作建立通道。如果未正确处理此请求,后续的 I/O 操作将无法执行。 3. **关联 I/O Target** 在 KMDF 驱动中,可通过 `WdfIoTargetOpen` 关联到具体的设备栈或文件对象,确保后续操作能正确路由到目标设备。例如: ```c WDF_IO_TARGET_OPEN_PARAMS params; WDF_IO_TARGET_OPEN_PARAMS_INIT_OPEN_BY_NAME(&params, &deviceName, ...); WdfIoTargetOpen(hIoTarget, &params); ``` 此代码初始化一个 I/O Target 并关联到指定设备,为后续操作提供基础[^2]。 #### WDF 中的实现方式: 在 KMDF 驱动中,IRP_MJ_CREATE 通常通过 **I/O 队列配置** 进行响应。驱动需在初始化队列时注册回调函数 `EvtIoCreate`,例如: ```c WDF_IO_QUEUE_CONFIG queueConfig; WDF_IO_QUEUE_CONFIG_INIT_DEFAULT_QUEUE(&queueConfig, WdfIoQueueDispatchParallel); queueConfig.EvtIoCreate = MyEvtIoCreate; // 自定义处理函数 WdfIoQueueCreate(device, &queueConfig, ..., &queue); ``` 当收到创建请求时,框架会调用 `MyEvtIoCreate`,驱动可在其中执行初始化逻辑或返回错误码(如访问被拒绝)[^3]。 --- ### § 相关问题 § 1. IRP_MJ_CREATE 未正确处理会导致什么问题? 2. 如何在 WDF 驱动中限制设备的并发访问? 3. IRP_MJ_CLEANUP 与 IRP_MJ_CLOSE 的区别是什么? --- **引用说明** [^1]: 关于 WDF_IO_QUEUE_CONFIG 结构体的初始化与默认队列配置。 : KMDF 中 I/O Target 的创建与关联方法。 : IRP_MJ_READ 等请求在 KMDF 中的回调实现示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值