测试IRP 和Dispatchroutin

最新推荐文章于 2017-03-21 09:47:50 发布
原创 最新推荐文章于 2017-03-21 09:47:50 发布 · 800 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文提供了一个NT驱动程序的开发实例,包括驱动程序的主要功能注册、设备创建、卸载处理及分发例程等核心代码。通过示例展示了如何响应不同类型的IRP请求,并给出了相应的测试函数和结构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下面是NT驱动demo

#include "ntddk.h"
void MyUnload(PDRIVER_OBJECT pDriverObj);
NTSTATUS CreateDevice(PDRIVER_OBJECT pDriverObj);
NTSTATUS MyDispatchRoutin(PDEVICE_OBJECT pDevObj,PIRP pIrp);
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj,  
                       PUNICODE_STRING pRegPath)  
{  
   
    UNREFERENCED_PARAMETER(pDriverObj);  
    UNREFERENCED_PARAMETER(pRegPath);  
  
      
    DbgPrint("Enter DriverEntry");  
      
    //注册其他调用函数入口  
    pDriverObj->DriverUnload=MyUnload;  
    pDriverObj->MajorFunction[IRP_MJ_CREATE]=MyDispatchRoutin;  
    pDriverObj->MajorFunction[IRP_MJ_CLOSE]=MyDispatchRoutin;  
    pDriverObj->MajorFunction[IRP_MJ_WRITE]=MyDispatchRoutin;  
    pDriverObj->MajorFunction[IRP_MJ_READ]=MyDispatchRoutin;  
    //创建DO  
	NTSTATUS status=0;  
    status=CreateDevice(pDriverObj);  
    DbgPrint("Enter DriverEntry End");  
    return status;  
} 
typedef struct _DEVICE_EX
{
	PDEVICE_OBJECT pDev;
	UNICODE_STRING ustrDevName;  
    UNICODE_STRING ustrLinkName;  
}DEVICE_EX;
NTSTATUS CreateDevice(PDRIVER_OBJECT pDriverObj)
{
	 UNREFERENCED_PARAMETER(pDriverObj);
	 UNICODE_STRING ustrDevName;
	 UNICODE_STRING ustrLinkName;
	 RtlInitUnicodeString(&ustrDevName,L"\\Device\\FUckFuck");
	 RtlInitUnicodeString(&ustrLinkName,L"\\DosDevices\\MyLinkDevice");

	 NTSTATUS status;
	 PDEVICE_OBJECT pDevObj;
	 status=IoCreateDevice(pDriverObj,
						   sizeof(DEVICE_EX),
						   &ustrDevName,
						   FILE_DEVICE_UNKNOWN,
						   NULL,true,
						   &pDevObj);
	 if(!NT_SUCCESS(status))
	 {
		 DbgPrint("IoCreateDevice failed");
		 return status;
	 }

	  //得到设备扩展  
	 DEVICE_EX* pDevEx;
     pDevEx=(DEVICE_EX*)pDevObj->DeviceExtension;  
	 pDevEx->pDev=pDevObj;
	 pDevEx->ustrDevName=ustrDevName;
	 pDevEx->ustrLinkName=ustrLinkName;


	 status=IoCreateSymbolicLink(&ustrLinkName,&ustrDevName);
	 if(!NT_SUCCESS(status))
	 {
		 DbgPrint("IoCreateSymbolicLink failed");
		 IoDeleteDevice(pDevObj);
		 return status;
	 }

	
	 return STATUS_SUCCESS;
}
void MyUnload(PDRIVER_OBJECT pDriverObj)
{
	
	 UNREFERENCED_PARAMETER(pDriverObj); 
	 DbgPrint("EnterDriverUnload");

	 PDEVICE_OBJECT pNextDev;
	 DEVICE_EX* pDevEx;
	 pNextDev=pDriverObj->DeviceObject;
	 while(pNextDev)
	 {
		 pDevEx=(DEVICE_EX*)pNextDev->DeviceExtension;
		 //删除符号链接
		 IoDeleteSymbolicLink(&pDevEx->ustrLinkName);
		 pNextDev=pNextDev->NextDevice;
		 IoDeleteDevice(pDevEx->pDev);
	 }
	
	 DbgPrint("LeaveDriverUnload");
	
}
NTSTATUS MyDispatchRoutin(PDEVICE_OBJECT pDevObj,PIRP pIrp)
{


	DbgPrint("EnterDriverDispatchRoutin");
	UNREFERENCED_PARAMETER(pDevObj);
	UNREFERENCED_PARAMETER(pIrp);
	//get io_stack
	PIO_STACK_LOCATION stack=IoGetCurrentIrpStackLocation(pIrp);

	static char* irpName[]=
	{
			"IRP_MJ_CREATE",            
			"IRP_MJ_CREATE_NAMED_PIPE",      
			"IRP_MJ_CLOSE" ,                      
			"IRP_MJ_READ" ,                          
			"IRP_MJ_WRITE"    ,                  
			"IRP_MJ_QUERY_INFORMATION",          
			"IRP_MJ_SET_INFORMATION" ,         
			"IRP_MJ_QUERY_EA" ,       
			"IRP_MJ_SET_EA"  ,   
			"IRP_MJ_FLUSH_BUFFERS",   
			"IRP_MJ_QUERY_VOLUME_INFORMATION",   
			"IRP_MJ_SET_VOLUME_INFORMATION",   
			"IRP_MJ_DIRECTORY_CONTROL"    ,   
			"IRP_MJ_FILE_SYSTEM_CONTROL" ,   
			"IRP_MJ_DEVICE_CONTROL" ,   
			"IRP_MJ_INTERNAL_DEVICE_CONTROL",   
			"IRP_MJ_SHUTDOWN"   ,   
			"IRP_MJ_LOCK_CONTROL"  ,   
			"IRP_MJ_CLEANUP"  ,   
			"IRP_MJ_CREATE_MAILSLOT"  ,   
			"IRP_MJ_QUERY_SECURITY" ,   
			"IRP_MJ_SET_SECURITY"  ,   
			"IRP_MJ_POWER"                   
	};

	UCHAR type=stack->MajorFunction;
	if(type>=ARRAYSIZE(irpName))
		DbgPrint("no irpname");
	else
		DbgPrint("%s",irpName[type]);
	//设置IRP完成状态
	pIrp->IoStatus.Status=STATUS_SUCCESS;

	//设置IRP操作字节数
	pIrp->IoStatus.Information=0;

	//结束IRP请求
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	DbgPrint("LeaveDriverDispatchRoutin");
	return STATUS_SUCCESS;
}

下面是测试函数 

#include<windows.h>
int main()
{
	//会触发IRP_MJ_CREATE
	HANDLE hFile=CreateFile(L"\\\\.\\MyLinkDevice",
							GENERIC_READ|GENERIC_WRITE,
							0,
							NULL,
							OPEN_EXISTING,
							FILE_ATTRIBUTE_NORMAL,
							0);
	if(hFile==INVALID_HANDLE_VALUE)
		MessageBox(0,L"failed",0,0);
	//关闭句柄会触发 IRP_MJ_CLEANUP IRP_MJ_CLOSE
	CloseHandle(hFile);
	return 0;
}


下面是测试的结构:


注意:

在驱动加载并开启服务后,再运行测试程序。否则测试程序会打开文件失败。




WDF驱动开发(3)- 用户模式程序驱动的数据交互
zj510的专栏
11-28 1万+
当用户模式的程序调用驱动的时候,怎么传递数据呢? 通常用户模式程序驱动的数据交互有3种办法:buffer方式,direct方式其他方式。可以看之前我写的WDM驱动模型:http://blog.youkuaiyun.com/zj510/article/details/8212032 那么在WDF里面又如何操作呢?我们考虑给WDF驱动增加一个功能:将WRITE请求的数据写入设备对象上下文,然后当READ请
IRP 与 派遣函数
weixin_30480075的博客
11-19 230
什么是派遣函数: 派遣函数是 WIndows 驱动程序中的重要概念。驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。也就是说,派遣函数是用来处理驱动程序提交过来的 I/O 请求。 那什么是 I/O 请求呢? 上层程序与驱动程序之间通信时,上层会发出I/O请求,即输入输出请求包(I/O Request package) ...
关于“IRP_MJ_CREATE ” 的Dispatch中判断FileObject是文件还是目录问题
keilsi的专栏
09-15 1294
当Ring3 CreateFile发起对某个文件对象的请求时,如:C:/Program Files/Microsoft Visual Studio/VC98/LIB/LIBC.lib"。请求进入Ring0,Fs会把该请求生成多个IRP_MJ_CREATE,逐层的打开目录对象,直至
IRP数据结构
10-09 2001
      几乎所有的Windows2000的I/O都是包驱动的,系统采取一种称为“I/O请求包(IRP--­I/O request packet)”的数据结构来完成与内核模式驱动程序通信。IRP由I/O管理器根据用户态程序提出的请求创建并传给相应的驱动程序。在分层的驱动程序中,这个过程很复杂,一个IRP常常要穿越几层驱动程序。另外,驱动程序也能够建立新的IRP并传递给其它驱动程序。 IR
IRP.rar_IRP_IRP.pdf_irp.rar_求IRP的编程
09-21
对于驱动开发人员来说,深入理解IRP的生命周期、调度机制同步策略是必不可少的。IRP不仅简化了设备驱动程序的设计,还提供了强大的灵活性可扩展性,使得驱动程序能够有效地处理各种复杂的I/O操作。通过熟练掌握...
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
IRP.zip_IRP
09-22
文件操作通常涉及到IRP的MajorFunction如IRP_MJ_READ、IRP_MJ_WRITE等,而处理这些操作时,驱动程序需要正确地设置传递IRP,确保数据的安全传输I/O操作的正确完成。 IRP的使用对于理解底层操作系统驱动开发至...
IRP.rar_IRP_Windows内核
09-20
1. **IRP结构体**:IRP是定义在`wdm.h`头文件中的结构体,包含多个成员,如`MajorFunction`(主要功能代码,指示I/O操作的类型)、`CurrentStackLocation`(当前处理该IRP的驱动程序的IRP堆栈位置)`IoStatus`...
IRP.rar_IRP_irp地址解析_site:www.pudn.com
09-14
通过阅读《IRP.rar》中的《IRP.pdf》,你将能够深入了解IRP的详细结构使用方法,包括如何创建、修改处理IRP,以及如何与系统I/O管理器协同工作。此外,这份文档可能还会介绍IRP的同步异步处理,以及IRP在多...
电脑蓝屏代码分析及解决方案
oju887jn
01-17 501
电脑蓝屏代码分析及解决方案 2011年06月17日   探讨交流:电脑蓝屏代码分析及解决方案时间: 2009-09-10 / 分类: 系统故障解决 / 浏览次数: 9,118次 / 4个评论 发表评论   很多朋友在使用电脑时,偶尔会遇到蓝屏的问题,很多人都会以重启计算机来解决!但大家却往往忽略了蓝屏那一大串英文字符所代表的含义,大家可能会想,这么多英文,怎么看呀?其实对于蓝屏界面的...
通俗解析IRPI/O设备栈在内核程序中的作用(转自看雪)
01-09 1882
正文: 言归正传,所有的I/O请求都是以IRP(I/O请求包)的形式来提交的,同时内核程序的所有分发函数(Dispatch Function)的第二个参数都是 PIRP(也即是指向IRP的指针)。为了说明问题,防止跳跃性太大,先解释几个名词(都按自己理解的),可以帮助会的人复习,不会的人学习 1:DRIVER_OBJECT: 驱动对象,由即插即用管理创建传递到DriverEntr
IRP原理及派遣函数基本工作流程
baidu_36226689的博客
03-21 1669
转载于百度文库 http://wenku.baidu.com/link?url=So3khjvq-fqL3G1JjI3BLAJh7dI9DJcaR6Km3m3McAl71wb6FRQK_cnwAOYUBhtMzNm_I7ZkbjM-ZVW1J-z4Txji8kN9WkJRB6SIArPBw-7 I/O Request Packet (IRPIRP 基本数据结构: IRP
win驱动中使用IRP注意项及原因分析(后续补充)
lixiangminghate的专栏
04-26 1978
MS上有很多关于驱动中使用IRP的守则(跟黄历中的宜忌差不多了),比如: 1.“Drivers must not attempt to reuse IRPs issued by the I/O manager. In particular, drivers should not attempt to reuse IRPs created by the IoMakeAssociatedIrp, I
驱动开发之 完成IRP的几种情况
Lydia的博客
08-18 1528
完成IRP时是忽略还是拷贝当前栈空间,返回什么状态值,以及完成函数中如何结束IRP,是不那么容易弄清楚的一件事情。 下面做个总结: 1.如果对IRP完成之后的事情无兴趣,则直接忽略当前IO_STACK_LOCATION(从代码上说,调用内核API函数IoSkipCurrentIrpLocation),然后向下传递请求,返回IoCallDriver所返回的状态。 2.不但对IRP完成之
应用层与驱动层通信DeviceIoControl
youyudexiaowangzi的专栏
01-12 5817
驱动层与应用层通信是通过DeviceIoControl, 首先驱动层要实现: pDriverObject->DriverUnload = MyDriverUnload; pDriverObject->MajorFunction[IRP_MJ_CREATE] = MyCreate; pDriverObject->MajorFunction[IRP_MJ_CLOSE] = MyClose;
搞明白IRP这个东东了
求索
05-18 4423
按照ms的步骤走了一遍,搞明白了,整点笔记记录一下,别忘了。 IRP的结构: [cpp] view plain copy print? typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP {      CSHORT Type;      USHORT Size;        //  
IO设备控制操作--DeviceIoControl
BpLife
12-11 3511
1.除了ReadFileWirteFile以外,应用程序还可以通过另外一个API DeviceIoControl 操作设备。DeviceIoControl内部会使操作系统创建一个IRP_MJ_DEVICE_CONTROL类型的IRP,然后操作系统会将这个IRP转发到派遣函数中。 2.I/O控制码(IOCTL)一个32位值。DDK提供一个宏CTL_CODE(devicetype,Func
深入解析IRP处理及自定义IRP流程
2. **分析IRP**:驱动程序需要根据IRP的类型参数来决定执行什么操作。 3. **请求执行**:驱动程序可以同步或异步地处理IRP。如果同步处理,驱动程序会直接完成IRP;如果是异步处理,则可能需要在驱动程序中保持IRP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值