IRP和IO_STACK_LOCATION

最新推荐文章于 2023-06-04 23:30:44 发布
原创 最新推荐文章于 2023-06-04 23:30:44 发布 · 3.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了操作系统中IRP(I/O Request Packet)及其IRP_STACK_LOCATION数组的工作原理,阐述了驱动程序如何通过这些数据结构进行上下层之间的交互,并介绍了关键函数如IoGetCurrentStackLocation、IoGetNextIrpStackLocation等的使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当一个应用程序调用函数去操作某个设备时,比如调用createFile,deviceIOControl,等等时,I/O管理器为此函数创建一个IRP数据结构对象和一个IRP_STACK_LOCATION数据结构对象数组。

(数组个数等于驱动程序堆栈上驱动的个数)。IRP对象中的数据成员是已经被填充好了的,其中有一个CurrentLocation是当前IRP_STACK_LOCATION堆栈单元的索引,Tail.Overlay.CurrentStackLocation

是当前IRP_STACK_LOCATION单元的指针。

一开始的时候,它当然是指向IRP_STACK_LOCATION数组的第一个元素。

这调用某个驱动程序的分发函数时,IRP作为参数传给了该分发函数,这样,该函数就可以访问IRP中的Tail.Overlay.CurrentStackLocation, 这样就可以访问IRP_STACK_LOCATION的

成员了(当然我们不需要直接这样做,而是调用IoGetCurrentStackLocation来实现)。因为OS并不会为我们初始化IRP_STACK_LOCATION数组中的每一个对象,所以初始化下一层驱动要使用的IRP_STACK_LOCATION就由它的上一层驱动来完成。要初始化它们,首先要找到它们,方法是调用IoGetNextStackLocation(它内部实现只是将CurrentStackLocation++),得到下一个IRP_STACK_LOCATION

对象指针。然后为其赋值。然后调用IOCALLDRIVER().

理解的关键点是:

一 OS为我们生成IRP,IPR_STACK_LOCATION数组,注意,是个数组。IRP中的CurrentStackLocation指向IRP_STACK_LOCATION中的某一个元素。

二 OS 并不会为我们填充好IRP_STACK_LOCATION数组,每一个元素是由上一层驱动负责填充的。

三 IRP_STACK_LOCATION数组,它们的元素之间不需要指针联系。

四 OS只负责把IRP包给最上层的驱动程序,至于如何向下层,就是驱动程序自己的事情了。所以下层对就的那些IRP_STACK_LOCATION,完全由上层驱动函数负责填充,OS不管。

 

驱动程序如何填充一层驱动需要用的IRP_STACK_LOCATION呢?

可以通过调用IoGetNextIrpStackLocation调用得到。其实该函数内部就是返回CurrentStackLocation加1而已。对数组值加1,当然就是得到数组的下一个值了。

这样就可以对它进行赋值了。然后调用IoCallDriver(),IoCallDriver()会将irp包中的CurrentStackLocation值加1,然后调用那个DRIVER.

 

如果下一层的驱动需要的IRP_STACK_LOCATION和本层驱动的一样,则可以直接调用IoSkipCurrentIrpStackLocation或IoCopyCurrentIrpStackLocationToNext.

IoSkipCurrentIrpStackLocation将CurrentStackLocation减1. 正好与IoCallDriver的加1抵消。所以相当于下层驱动和本层驱动用的是同一个IRP_STACK_LOCATIN元素。

keepdoingit
关注
【驱动之二】IO_STACK_LOCATION总结
seedluo815的专栏
05-03 1081
typedef struct _IO_STACK_LOCATION { UCHAR MajorFunction; UCHAR MinorFunction; UCHAR Flags; UCHAR Control; union { // // Parameters for IRP_MJ_CREATE // s
IRPIO_STACK_LOCATION
02-18
window驱动开发中关于IRPIO_STACK_LOCATION之间的关系分析
wdk tips (2): IO_STACK_LOCATION
weixin_30783629的博客
01-19 225
如前文所述,nt内核的驱动模型没有完全使用函数调用栈,而是自己山寨出来一个IO_STACK_LOCATION,里面保存了驱动调用序列。我们知道函数调用栈的pushpop都是编译器帮忙弄的,你甚至都可以在完全不了解内幕的前提下写代码,但是驱动开发不一样,调用序列要你自己去关心,何时入栈,何时出栈,栈内保留的什么内容,全部都要照顾好,否则BSOD就在前方不远等你。 与IO_STACK_L...
IO_STACK_LOCATION — I/O堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-17 746
I/O堆栈    任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的 IO_STACK_LOCATION 结构数组:数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序,另外还有一个堆栈单元供IRP的创建者使用(见图5-3)。堆栈单元中包含该IRP的类型代码参数信息以及完成函数的地址。下图显示了堆栈单元的结构。    I/O堆栈单元数据结构:
IO_STACK_LOCATIONIRP的一点笔记
evil的心情站
09-23 839
IO_STACK_LOCATIONIRP算是驱动中两个很基础的东西,为了理解这两个东西,找了一点资料。 1. IRP可以看成是Win32窗口程序中的消息(Message),DEVICE_OBJECT可以看成是Win32窗口程序中的窗口(Window) 2. 任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆
IO_STACK_LOCATION
二月麦苗的专栏
07-16 911
IO_STACK_LOCATION The IO_STACK_LOCATION structure defines an I/O stack location, which is an entry in the I/O stack that is associated with each IRP. Each I/O stack location in an IRP has some co
/* File Kmd.cpp By WzrterFX */ #include "Kmd.h" namespace Kmd { NTSTATUS Kmd::Create(PDRIVER_OBJECT driverObject) { NTSTATUS status = STATUS_UNSUCCESSFUL; UNICODE_STRING deviceName { }; RtlInitUnicodeString(&deviceName, L"\\Device\\Kmd"); status = IoCreateDevice( driverObject, NULL, &deviceName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &_deviceObject ); if (!NT_SUCCESS(status)) { DbgPrintEx(0, 0, "Fatal, failed to create driver device.\n" ); return status; } UNICODE_STRING symbolicLink { }; RtlInitUnicodeString(&symbolicLink, L"\\DosDevices\\Kmd"); status = IoCreateSymbolicLink(&symbolicLink, &deviceName); if (!NT_SUCCESS(status)) { DbgPrintEx(0, 0, "Fatal, failed to establish driver link.\n" ); IoDeleteDevice(_deviceObject); return status; } SetFlag(_deviceObject->Flags, DO_BUFFERED_IO); driverObject->MajorFunction[IRP_MJ_CREATE] = [](PDEVICE_OBJECT, PIRP io) -> NTSTATUS { IoCompleteRequest(io, IO_NO_INCREMENT); return io->IoStatus.Status; }; driverObject->MajorFunction[IRP_MJ_CLOSE] = [](PDEVICE_OBJECT, PIRP io) -> NTSTATUS { IoCompleteRequest(io, IO_NO_INCREMENT); return io->IoStatus.Status; }; driverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = &this->KmdControl; ClearFlag(_deviceObject->Flags, DO_DEVICE_INITIALIZING); return STATUS_SUCCESS; } NTSTATUS Kmd::KmdControl(PDEVICE_OBJECT, PIRP io) { NTSTATUS status = STATUS_UNSUCCESSFUL; PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(io); if (!stack) { IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver stack location.\n" ); return status; } PKmdRequest request = reinterpret_cast<PKmdRequest>(io->AssociatedIrp.SystemBuffer); if (!request) { IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver associated request.\n" ); return status; } static PEPROCESS process { }; static SIZE_T reserved { }; switch (stack->Parameters.DeviceIoControl.IoControlCode) { case ::Kmd::_IoCtls::attach: { status = ::Kmd::_NtifsApi::PsLookupProcessByProcessId( request->attachRequest.process, &process ); break; } case ::Kmd::_IoCtls::read: { if (process) { status = ::Kmd::_NtifsApi::MmCopyVirtualMemory( process, request->copyMemoryRequest.from, PsGetCurrentProcess(), request->copyMemoryRequest.to, request->copyMemoryRequest.requested, MODE::KernelMode, &reserved ); } break; } case ::Kmd::_IoCtls::write: { if (process) { status = ::Kmd::_NtifsApi::MmCopyVirtualMemory( PsGetCurrentProcess(), request->copyMemoryRequest.to, process, request->copyMemoryRequest.from, request->copyMemoryRequest.requested, MODE::KernelMode, &reserved ); } break; } default: { status = STATUS_INVALID_DEVICE_REQUEST; break; } } io->IoStatus.Status = status; io->IoStatus.Information = sizeof(KmdRequest); IoCompleteRequest(io, IO_NO_INCREMENT); return status; } }帮我全部加上注释
最新发布
03-22
PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(io); if (!stack) { // 栈位置验证 IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver stack location.\n"); ...
WDF驱动如何向底层磁盘驱动发送IRP_MJ_READ请求读取原始数据?请给出示例
06-08
PIO_STACK_LOCATION irpStack = IoGetNextIrpStackLocation(irp); irpStack->MajorFunction = IRP_MJ_READ; irpStack->Parameters.Read.Length = Length; irpStack->Parameters.Read.ByteOffset.QuadPart = 0; ...
KMDF驱动如何获取底层硬盘驱动对象,并向其发送IRP_MJ_READ请求?请给出示例
06-08
PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(Irp); PVOID inputBuffer = Irp->AssociatedIrp.SystemBuffer; PVOID outputBuffer = Irp->UserBuffer; // 分配一个MDL描述符并锁定输入缓冲区 ...
IO_STACK_LOCATION 结构
wuxupu的专栏
07-10 610
I/O堆栈    任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的 IO_STACK_LOCATION 结构数组:数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序,另外还有一个堆栈单元供IRP的创建者使用(见图5-3)。堆栈单元中包含该IRP的类型代码参数信息以及完成函数的地址。下图显示了堆栈单元的结构。    I/O堆栈单元数据结构:
15.driverbase-IRPIO_STACK_LOCATION、文件三种读写方式(buffer/driect/other)、DeviceIoControl
hgy413的专栏
02-16 2538
IRP简介 文件读写的三种方式简介及windbg调试 DeviceIoControl与驱动交互
IO Stack Location
猫猫不喵喵 的专栏
11-17 1564
为了驱动的构建,在IRP建立时,IO管理器给每个驱动分配一个IO堆栈区,每个IO堆栈区由 IO_STACK_LOCATION 结构组成。     IO管理器为每个IRP建立了一个IO堆栈序列,这个序列中每个IO堆栈可以给驱动使用。每个驱动拥有这个序列中的一个堆栈结构,并且 可以通过IoGetCurrentIrpStackLocation函数取得这个IO操作的详细信息。     驱动程序可以通过调用
IO_STACK_LOCATION说明
残酷な天使
04-24 1288
<br />转自http://hi.baidu.com/pinemoon/blog/item/01fa8c19fbccb7f0af513398.html<br /> <br /> <br />来自《《Rootkits:Subverting the Windows Kernel》学习笔记---第六章》<br /><br />这一章讲的是驱动程序分层。分层?呵呵,没啥,就像网络协议一样,分为一层层。其实写过程序的人都会用过“分层”写程序,把一个程序分为一层一层地实现,这是一个相当简单的概念。<br />驱动与设
关于windows驱动中的IO_STACK_LOCATION
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-04 860
理解IO_STACK_LOCATION是驱动入门的一个重要知识点,该结构体是理解驱动工作过程的核心知识之一。闲话不多时,直接看代码,看完下面几段windows源码,你要还不能理解,直接来找我。
windows内核开发学习笔记十七:IRP IO_STACK_LOCATION 的交互
jyl_sh的专栏
04-15 2107
windows内核开发学习笔记十七:IRP IO_STACK_LOCATION 的交互 前面两篇学习笔记分别介绍了IRPIO_STACK_LOCATION,整个设备栈来处理这个IRP,但是每个设备都应该有自己的参数信息,这个参数信息就是通过IO_STACK_LOCATION 来保管的,那么IRP是怎么保管IO_STACK_LOCATION的呢?本文我们来分析一下IRPIO_STACK_LOCATION交互作用的整个流程。 I/O manager ---> ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值