IRP 以及 STACKLOCATION 结构体成员,方便反汇编

最新推荐文章于 2024-08-17 06:54:40 发布
原创 最新推荐文章于 2024-08-17 06:54:40 发布 · 916 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struct #parameters #byte #integer #list #function

本文详细解析了IRP与IO_STACK_LOCATION结构体的定义与用途,为理解Windows内核提供了深入洞见。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   这两个结构体是从DEBUGMAN 那里剽窃过来的。 读书人嘛。




struct _IRP (sizeof=112) 
{
00 int16 Type 
02 uint16 Size 
04 struct _MDL *MdlAddress 
08 uint32 Flags 
0c union __unnamed14 AssociatedIrp 
0c struct _IRP *MasterIrp 
0c int32 IrpCount 
0c void *SystemBuffer 
10 struct _LIST_ENTRY ThreadListEntry 
10 struct _LIST_ENTRY *Flink 
14 struct _LIST_ENTRY *Blink 
18 struct _IO_STATUS_BLOCK IoStatus 
18 int32 Status 
18 void *Pointer 
1c uint32 Information 
20 char RequestorMode 
21 byte PendingReturned 
22 char StackCount 
23 char CurrentLocation 
24 byte Cancel 
25 byte CancelIrql 
26 char ApcEnvironment 
27 byte AllocationFlags 
28 struct _IO_STATUS_BLOCK *UserIosb 
2c struct _KEVENT *UserEvent 
30 union __unnamed15 Overlay 
30 struct __unnamed16 AsynchronousParameters 
30 function *UserApcRoutine 
34 void *UserApcContext 
30 union _LARGE_INTEGER AllocationSize 
30 uint32 LowPart 
34 int32 HighPart 
30 struct __unnamed3 u 
30 uint32 LowPart 
34 int32 HighPart 
30 int64 QuadPart 
38 function *CancelRoutine 
3c void *UserBuffer 
40 union __unnamed17 Tail 
40 struct __unnamed18 Overlay 
40 struct _KDEVICE_QUEUE_ENTRY DeviceQueueEntry 
40 struct _LIST_ENTRY DeviceListEntry 
40 struct _LIST_ENTRY *Flink 
44 struct _LIST_ENTRY *Blink 
48 uint32 SortKey 
4c byte Inserted 
40 void *DriverContext[4] 
50 struct _ETHREAD *Thread 
54 char *AuxiliaryBuffer 
58 struct _LIST_ENTRY ListEntry 
58 struct _LIST_ENTRY *Flink 
5c struct _LIST_ENTRY *Blink 
60 struct _IO_STACK_LOCATION *CurrentStackLocation 
60 uint32 PacketType 
64 struct _FILE_OBJECT *OriginalFileObject 
40 struct _KAPC Apc 
40 int16 Type 
42 int16 Size 
44 uint32 Spare0 
48 struct _KTHREAD *Thread 
4c struct _LIST_ENTRY ApcListEntry 
4c struct _LIST_ENTRY *Flink 
50 struct _LIST_ENTRY *Blink 
54 function *KernelRoutine 
58 function *RundownRoutine 
5c function *NormalRoutine 
60 void *NormalContext 
64 void *SystemArgument1 
68 void *SystemArgument2 
6c char ApcStateIndex 
6d char ApcMode 
6e byte Inserted 
40 void *CompletionKey 
}


IO_STACK_LOCATION 结构定义如下 


struct _IO_STACK_LOCATION (sizeof=36) 
00 byte MajorFunction 
01 byte MinorFunction 
02 byte Flags 
03 byte Control 
04 union __unnamed19 Parameters 
04 struct __unnamed20 Create 
04 struct _IO_SECURITY_CONTEXT *SecurityContext 
08 uint32 Options 
0c uint16 FileAttributes 
0e uint16 ShareAccess 
10 uint32 EaLength 
04 struct __unnamed21 CreatePipe 
04 struct _IO_SECURITY_CONTEXT *SecurityContext 
08 uint32 Options 
0c uint16 Reserved 
0e uint16 ShareAccess 
10 struct _NAMED_PIPE_CREATE_PARAMETERS *Parameters 
04 struct __unnamed22 CreateMailslot 
04 struct _IO_SECURITY_CONTEXT *SecurityContext 
08 uint32 Options 
0c uint16 Reserved 
0e uint16 ShareAccess 
10 struct _MAILSLOT_CREATE_PARAMETERS *Parameters 
04 struct __unnamed23 Read 
04 uint32 Length 
08 uint32 Key 
0c union _LARGE_INTEGER ByteOffset 
0c uint32 LowPart 
10 int32 HighPart 
0c struct __unnamed3 u 
0c uint32 LowPart 
10 int32 HighPart 
0c int64 QuadPart 
04 struct __unnamed23 Write 
04 uint32 Length 
08 uint32 Key 
0c union _LARGE_INTEGER ByteOffset 
0c uint32 LowPart 
10 int32 HighPart 
0c struct __unnamed3 u 
0c uint32 LowPart 
10 int32 HighPart 
0c int64 QuadPart 
04 struct __unnamed24 QueryDirectory 
04 uint32 Length 
08 struct _STRING *FileName 
0c int32 FileInformationClass 
10 uint32 FileIndex 
04 struct __unnamed25 NotifyDirectory 
04 uint32 Length 
08 uint32 CompletionFilter 
04 struct __unnamed26 QueryFile 
04 uint32 Length 
08 int32 FileInformationClass 
04 struct __unnamed27 SetFile 
04 uint32 Length 
08 int32 FileInformationClass 
0c struct _FILE_OBJECT *FileObject 
10 byte ReplaceIfExists 
11 byte AdvanceOnly 
10 uint32 ClusterCount 
10 void *DeleteHandle 
04 struct __unnamed28 QueryEa 
04 uint32 Length 
08 void *EaList 
0c uint32 EaListLength 
10 uint32 EaIndex 
04 struct __unnamed29 SetEa 
04 uint32 Length 
04 struct __unnamed30 QueryVolume 
04 uint32 Length 
08 int32 FsInformationClass 
04 struct __unnamed30 SetVolume 
04 uint32 Length 
08 int32 FsInformationClass 
04 struct __unnamed31 FileSystemControl 
04 uint32 OutputBufferLength 
08 uint32 InputBufferLength 
0c uint32 FsControlCode 
10 void *Type3InputBuffer 
04 struct __unnamed32 LockControl 
04 union _LARGE_INTEGER *Length 
08 uint32 Key 
0c union _LARGE_INTEGER ByteOffset 
0c uint32 LowPart 
10 int32 HighPart 
0c struct __unnamed3 u 
0c uint32 LowPart 
10 int32 HighPart 
0c int64 QuadPart 
04 struct __unnamed33 DeviceIoControl 
04 uint32 OutputBufferLength 
08 uint32 InputBufferLength 
0c uint32 IoControlCode 
10 void *Type3InputBuffer 
04 struct __unnamed34 QuerySecurity 
04 uint32 SecurityInformation 
08 uint32 Length 
04 struct __unnamed35 SetSecurity 
04 uint32 SecurityInformation 
08 void *SecurityDescriptor 
04 struct __unnamed36 MountVolume 
04 struct _VPB *Vpb 
08 struct _DEVICE_OBJECT *DeviceObject 
04 struct __unnamed36 VerifyVolume 
04 struct _VPB *Vpb 
08 struct _DEVICE_OBJECT *DeviceObject 
04 struct __unnamed37 Scsi 
04 *Srb 
04 struct __unnamed38 QueryQuota 
04 uint32 Length 
08 void *StartSid 
0c struct _FILE_GET_QUOTA_INFORMATION *SidList 
10 uint32 SidListLength 
04 struct __unnamed29 SetQuota 
04 uint32 Length 
04 struct __unnamed39 QueryDeviceRelations 
04 int32 Type 
04 struct __unnamed40 QueryInterface 
04 struct _GUID *InterfaceType 
08 uint16 Size 
0a uint16 Version 
0c struct _INTERFACE *Interface 
10 void *InterfaceSpecificData 
04 struct __unnamed41 DeviceCapabilities 
04 struct _DEVICE_CAPABILITIES *Capabilities 
04 struct __unnamed42 FilterResourceRequirements 
04 struct _IO_RESOURCE_REQUIREMENTS_LIST *IoResourceRequirementList 
04 struct __unnamed51 ReadWriteConfig 
04 uint32 WhichSpace 
08 void *Buffer 
0c uint32 Offset 
10 uint32 Length 
04 struct __unnamed52 SetLock 
04 byte Lock 
04 struct __unnamed53 QueryId 
04 int32 IdType 
04 struct __unnamed54 QueryDeviceText 
04 int32 DeviceTextType 
08 uint32 LocaleId 
04 struct __unnamed55 UsageNotification 
04 byte InPath 
05 byte Reserved[3] 
08 int32 Type 
04 struct __unnamed56 WaitWake 
04 int32 PowerState 
04 struct __unnamed57 PowerSequence 
04 struct _POWER_SEQUENCE *PowerSequence 
04 struct __unnamed58 Power 
04 uint32 SystemContext 
08 int32 Type 
0c union _POWER_STATE State 
0c int32 SystemState 
0c int32 DeviceState 
10 int32 ShutdownType 
04 struct __unnamed59 StartDevice 
04 struct _CM_RESOURCE_LIST *AllocatedResources 
08 struct _CM_RESOURCE_LIST *AllocatedR 

【驱动之一】IRP结构
seedluo815的专栏
05-05 1366
一、IRP 简介         IRP是I/O Request Pcaket 的缩写,即I/O请求包。驱动与驱动之间通过 IRP 进行通信。而使用驱动的应用层调用的 CreatFile,ReadFile,WriteFile,DeviceIoControl 等函数,说到底也是使用 IRP 和驱动进行通信。IRP由I/O管理器根据用户态程序提出的请求创建并传给相应的驱动程序。在分层的驱动程序中
驱动开发:内核实现进程汇编与反汇编
支持一对一答疑的编程作家朱文伟的博客!
05-28 566
简单介绍了如何通过MDL映射的方式实现进程读写操作,本章将通过如上案例实现远程进程反汇编功能,此类功能也是ARK工具中最常见的功能之一,通常此类功能的实现分为两部分,内核部分只负责读写字节集,应用层部分则配合反汇编引擎对字节集进行解码,此处我们将运用。Capstone旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎,该引擎支持多种平台的反汇编,非常推荐使用。首先是实现驱动部分,驱动程序的实现是一成不变的,仅仅只是做一个读写功能即可,完整的代码如下所示;反汇编函数,该函数的解释如下所示;
IRP结构
木易云清
03-18 724
IRP结构 图5-1显示了IRP的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。 MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO,则I/O管理器为IRP_MJ_READ或 IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ_DEVICE
IRP的结构
最新发布
linux-0.11调试教程
08-17 622
因此,唯一可以使用Not I/O的驱动程序是直接从I/O管理器输入的驱动程序,上面没有中间驱动程序,并且可以在调用过程的上下文中处理(通常是完成)I/O操作。因此,对于指向两个驱动程序堆栈的I/O请求,I/O管理器将尝试使用具有三个I/O堆栈位置的IRP后备列表中的一个IRP。然而,它可以被任何类型的驱动程序使用,这些驱动程序希望在用户缓冲区和外围设备之间直接传输数据,而不需要重新拒绝数据的开销(就像缓冲区I/O的情况一样),也不必在调用过程的上下文中执行传输(就像两者都没有I/O的情况那样)。
IRP数据结构(即 I/O请求包数据结构)
haiross的专栏
09-02 1836
IRP结构   图5-1显示了IRP的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。 MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO,则I/O管理器为IRP_MJ_READ或IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ
IRP 的结构
autumn20080101的专栏
05-19 964
。WDK 中的wdm.h 中,能找到IRP 的结构如下: typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP { // 类型和大小 CSHORT Type; USHORT Size; // 内存描述符链表指针。实际上,这里用来描述一个缓冲区。可以想象, // 一个内核请求一般都需要一个缓冲区(如读硬盘需要有读出缓冲区)
IRP与IO_STACK_LOCATION
02-18
### IRP与IO_STACK_LOCATION详解 #### 一、概述 在Windows驱动开发中,IRP (I/O Request Packet) 和 IO_STACK_LOCATION 是两个至关重要的概念。它们之间存在着密切的关系,通常被视为一个整体来理解。本篇文章旨在...
IRP.rar_IRP_IRP.pdf_irp.rar_求IRP的编程
09-21
在《IRP.pdf》这份文档中,可能详细阐述了IRP的结构、创建过程、如何处理IRP以及IRP在驱动程序设计中的应用实例。而“www.pudn.com.txt”可能是从PUDN网站下载资料时一同打包的说明文件,通常包含资源来源或版权信息...
IRP.zip_IRP
09-22
在“IRP.zip_IRP”这个压缩包中,包含的IRP.doc文档很可能是对IRP机制的详细解释,包括如何编写驱动程序来处理IRP,以及如何利用IRP进行文件操作。文件操作通常涉及到IRP的MajorFunctionIRP_MJ_READ、IRP_MJ_WRITE...
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
IRP详细介绍
05-03
比较详细的介绍IRP的文档,对驱动初学者应该比较有用!
操作IRP: 所有驱动开发人员都要知道的知识.pdf
10-09
操作IRP: 所有驱动开发人员都要知道的知识 pdf
Windows驱动开发(9) - IRP结构体
Vinx Blog
06-22 1855
Windows驱动开发(9) - IRP结构体typedef struct _IRP { PMDL MdlAddress; ULONG Flags; union { struct _IRP* MasterIrp; PVOID SystemBuffer; } AssociatedIrp; IO_
IRP结构与理解
zhuhuibeishadiao
03-31 2249
Irp->AssociatedIrp.SystemBuffer //输入输出缓冲区 使用DO_BUFFER_IO Irp->IoStatus.Status //返回给用户层的状态,表示这次通信的结果 Irp->IoStatus.Information //返回给用户层的大小 Irp->UserBuffer //USER_BUFFER时的通信 Irp->MdlAddress //使用MDL映
windows内核开发学习笔记十五:IRP结构
jyl_sh的专栏
04-15 3300
windows内核开发学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上层应用程序需要访问底层输入输出设备时,发出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上层应用程序的。可想而知,IRP类型是与上层对底层设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
typedef IRP *PIRP;
autumn20080101的专栏
05-20 779
// // I/O Request Packet (IRP) definition // typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP { CSHORT Type; USHORT Size; // // Define the common fields used to contro
I/O Request Packet
zhuo_zhibin的专栏
09-14 5983
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
IRP详解
weixin_34151004的博客
01-07 640
IRP结构进行解释一个绝好资料. 推荐大伙看看参考一把. 转载于:https://blog.51cto.com/laokaddk/125081
IRP的串行化处理
qq_41490873的博客
07-27 567
StartIO例程能够保证各个并行的IRP顺序执行,即串行化。 操作系统为程序员提供了一个IRP队列来实现串行,这个队列用KDEVICE QUEUE 数据结构表示。 typedef struct _KDEVICE_QUEUE { //IRP队列来实现串行 CSHORT Type; CSHORT Size; LIST_ENTRY devicelisthead; //该队列头保存在DeviceObject-&gt
汇编语言程序设计:IRP指令详解
"参数值重复指令IRP是微机原理中汇编语言编程的一种伪指令,用于简化代码重复的编写。" 在微机原理的学习中,汇编语言是一种重要的编程工具,它比机器语言更易读,同时又比高级语言更接近底层硬件。汇编语言程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值