一个大多数人写过滤驱动都存在的问题

最新推荐文章于 2023-11-13 13:45:01 发布
转载 最新推荐文章于 2023-11-13 13:45:01 发布 · 276 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/kkindof/p/3597301.html

本文探讨了过滤驱动设计中两种常见写法的区别,并分析了在特定条件下可能出现的问题及潜在风险。

就凑合写写,凑合看看吧

 

写过滤驱动的时候,一般有一个这样的需要,

在过滤某个请求request1的时候,进入到过滤的dispatch1函数,此时,我们需要发送IRP查询某些信息,但这些信息需要在request1完成后才能查询得到。

于是常见的会有2种写法:

第一种:

CompleteRoutine(context)

{

KeSetEvent(&context->NoticEvent, IO_NO_INCREMENT, FALSE);

return STATUS_MORE_PROCESSING_REQUIRED;

}

///////////////////////////////////

dispatch1(irp)

{

IO_STATUS_BLOCK ioStatusBlock;

IoSetCompletionRoutine( Irp, CompleteRoutine, (PVOID)context, TRUE, TRUE, TRUE );

iocallDriver(NextDevice, irp);

KeWaitForSingleObject(&context->NoticEvent)

 

queryIrp = TdiBuildInternalDeviceControlIrp( TDI_QUERY_INFORMATION, 

NextDeviceObject, 
irps->FileObject, 
NULL, 
&ioStatusBlock 
);

iocallDriver(queryIrp)

}

 

=================================

CompleteRoutine2(context)

{

.....

iocallDriver(queryIrp)

.....

}

 

第二种写法:

dispatch1(irp)

{

IO_STATUS_BLOCK ioStatusBlock;

 

queryIrp = TdiBuildInternalDeviceControlIrp( TDI_QUERY_INFORMATION, 

NextDeviceObject, 
irps->FileObject, 
NULL, 
&ioStatusBlock 
);

IoSetCompletionRoutine( Irp, CompleteRoutine2, (PVOID)context, TRUE, TRUE, TRUE );

iocallDriver(NextDevice, irp);

}

2种方法的代码大概如上,它们的区别主要是发起queryIrp的不同位置,第一种是直接在dispatch1中发起,第二种则是在完成例程中发起(不少网上流传的代码是这样)。

在极端的情况下会发生严重的后果,这个严重的情况就是当上面的第二种情况涉及到3条线程的时候则会出现。哪3条线程呢?

第1条:dispatch1()这个原始的请求线程

第2条:CompleteRoutine2(),当request1被异步完成时,那CompleteRoutine2就是在第2条线程中被调用的

第3条:在CompleteRoutine2()中发起queryIRP,当queryIrp这个IRP被异步完成时,则会IoCompleteRequest(queryIRP)的调用者是第3条线程

在上面情况发生时,第3条线程是Io manager在处理,它会使用special apc来完成,这个special apc的执行环境会回到第2条线程中执行,这时会把结果拷到当初建立的queryIrp 的ioStatusBlock 结构中

但如果这时候线程1,已经返回或者退出了的话,那这个ioStatusBlock 就很危险了,因为当初的ioStatusBlock 是在第1条线程栈中的,special apc 拷结果的时候,也许ioStatusBlock 的地址是新起线程的栈(第1条线程退出),

或者还是线程1的其它函数的栈。发生这种情况就会发现蓝屏的原因不知道为什么栈上的数据被改了,原因很难查明,特别还不是必现的!

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/kkindof/p/3597301.html

天为我蓝
关注
还在调API所谓的AI“女友”,唠了唠了,教你基于python咱们“new”一个(深度学习)
`or 1 or 不正经の泡泡
11-24 4512
诶,标题有点欠揍是吧。好吧承认有点标题党了,拖更大王要更新了。快速构建一个简单的对话+问答AI (上)过来的。好吧被你发现了,我是把中间那一段拆开来了。好吧,之所以这样做其实还是因为那篇文章是在是太长了,没清楚,同时每一个模块都是独立的,因此的话咱们专门拆开来再说下是咋干的。咱们这是一篇独立的博文,那么为啥要独立捏,因为我知道你可能并不需要一个比较完整的内容,如果你关注的是如何实现一个对话AI的话,那么来这里就对了。我们将单独从数据集开始再讲起。并且将真正完整的代码直接在咱们的博文当中贴出了。
蓝牙设备驱动开发
最新发布
RZer的博客
12-02 2116
蓝牙是无线数据和语音传输的开放式标准,它将各种通信设备、计算机及其终端设备、各种数字数据系统、甚至家用电器采用无线方式联接起来。它的传输距离为10cm~10m,如果增加功率或是加上某些外设便可达到100m的传输距离。它采用2.4GHzISM频段和调频、跳频技术,使用权向纠错编码、ARQ、TDD和基带协议。
TDI网络过滤驱动开发指南
xsinlink的博客
11-13 1071
首先我们来看一下Windows的网络模块架构,如下:ws2_32.dll提供了基本的socket相关函数(例如socketbindlisten等)。Windows在用户层提供了一种过滤网络数据包的HOOK方案,这个就是Layered service provider(也就是我们通常说的LSP),通过这种技术我们对网络包进行HOOK了,国内很多大厂用的都是这种技术。Socket是一种统一的规范,无论是Windows还是Linux他们对外提供的接口都是一样的。
驱动开发之五 --- TDI之十一 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 1296
驱动开发之五 --- TDI之十一 【译文】 处理和完成 在这里你简单的按步处理请求和完成它。如果你没有返回STATUS_PENDING,那是最好的。在前面多数的例子中,我们就是这样处理所有的驱动请求的。我们处理他们,当我们做完时,我们简单的调用IoCompleteRequest。 创建IRP 在前面的文章中,对于如何创建和发送IRP有简短的描述。我们会再详
菜鸟之驱动开发13
Care iOS技术团队
08-28 2994
在本节,我们将学习在内核模式下操作文件,包括:创建,打开,读取,修改,文件属性读取与修改。 相关的API有:ZwCreateFile, ZwOpenFile, ZwReadFile, ZwWriteFile, ZwQueryInformationFile,ZwSetInform
tdi总结
研究源码的最底层,只持有正确的仓位
01-15 2288
1.入口函数 创建设备对象,绑定到\\Device\\Tcp,\\Device\\Udp,\\Device\\RawIp设备栈上。 设置dispatch分发函数处理创建,清理和内部外部DEVICE_CONTROL设置irp请求。 2.create请求 在create请求中获取进程名,pid上抛应用层。 应用层createfile时,在EaBuffer中传递传输层操作指...
IRP数据结构(即 I/O请求包数据结构)
haiross的专栏
09-02 1847
IRP结构   图5-1显示了IRP的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。 MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO,则I/O管理器为IRP_MJ_READ或IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ
Redis高频面试基本问题与知识点整理
热门推荐
张彦峰的博客
04-07 173万+
对Redis一些重点内容进行整理总结用于查缺补漏,应对各大互联网大厂面试方向题库
伺服驱动系统的电磁干扰问题
weixin_45479949的博客
05-25 4955
伺服驱动系统的电磁干扰问题 概述 电磁干扰是一个影响伺服驱动器及其周围电气设备的问题,它可能会导致一些不便: 反馈设备的读数不正确会导致控制问题和电机故障。 通信问题和数据丢失或同步。 对伺服驱动系统附近周围电路的干扰。 不符合电磁兼容性 (EMC) 标准。 幸运的是,了解本文档中介绍的模型的问题应该允许在系统设计阶段(首选)或现场通过简单的操作来解决大多数EMC问题。本文档旨在展示一个框架来理解和解决问题,而不是再次重复模糊的经验法则,例如连接保护接地,屏蔽电缆或添加铁氧体。 了解驱动器上的
Java高频面试基础问题与知识点整理
张彦峰的博客
11-04 171万+
Java高频面试知识点总结:覆盖高频基础知识考点+高频集合知识点深入分析+高频多线程与并发编程面试题汇总+其他扩展考察等。
ZwReadFile读TXT文件
十年磨一剑,霜刃未曾试!
10-25 5033
开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATUS ntStatus; OBJECT_ATTRIBUTES object_attributes; UNICODE_STRING uFileName=RTL_CONSTANT_STRING(L"\\??\\C:\\po
【转帖】驱动编程学习笔记之IO处理
floweronwarmbed的专栏
11-03 1937
 典型的i/o处理过程=================操作系统将所有的i/o请求都抽象成针对一个虚拟文件的操作,从而掩盖了“一个i/o操作的目标可能不是一个文件结构的设备“这样的事实。这一抽象也使得应用程序对待设备的接口变得泛化。用户模式api   |i/o系统服务api(Ntxxx)   |i/o管理器(Ioxxx)   |内核模式设备驱动程序------驱动程序支持例程(Io,
端口技术 GetOverlappedResult
thimin的专栏
10-30 3268
 早在两年前我就已经能很熟练的运用完成端口这种技术了,只是一直没有机会将它用在什么项目中,这段时间见到这种技术被过分炒作,过分的神秘化,就想一篇解释它如何工作的文章.想告诉大家它没有传说中的那么高深难懂!有什么错误的地方还请高指正.转载请注明出处及作者,谢谢!以一个文件传输服务端为例,在我的机器上它只起两个线程就可以为很多个个客户端同时提供文件下载服务,程序的性能会随机器内CPU个数的
TDI Filter 过滤驱动
fanxiushu的专栏
04-07 5563
By Fanxiushu  2013, 引用和转载请注明原作者 为了让大家有兴趣阅读下去, 举个正在使用的可能大家都比较熟悉的例子: 360 的安全卫士里,有个流量防火墙的功能, 它可以监视每个进程的流量情况,可以限制上传下载速度,等等。 他的驱动部分的就是一个 TDI Filter 驱动。 TDI Filter ,这是个快被微软淘汰的驱动模式,但是为了兼容,又不得不使用的驱动
IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)
weixin_33739523的博客
11-30 2455
在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记。   1. 相关阅读资料 《深入解析 windows 操作系统(第4版,中文版)》 --- 9章 《windows driver kit 帮助文档》 http://support.microsoft.com/kb/115758/zh-cn  IRP 结构中各地址字段...
TDI过滤驱动分析
chenyujing1234的专栏
07-31 4222
转载自: http://www.cnblogs.com/welfear/archive/2011/02/14/1954454.html   1、介绍 1、1 TDI驱动作用 TDI协议驱动主要应用于版本号在nt4至nt5之间的操作系统,本文档对TDI驱动的分析主要参考nt4所提供 的TDI驱动。TDI是Transport Driver Interface首字母缩,主要提供网络层协议和
slownews:为紧张群提供Haskell驱动的缓慢新闻体验
6. **版本控制与分支管理**:项目使用了版本控制系统,如Git,且有“slownews-master”文件名,表明存在一个名为“slownews”的主分支,存放有最新稳定的源代码。 7. **开源项目**:作为开源项目,开发者社区可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值