关于设备栈,IO栈,IO_STACK_LOCATION----文件系统过滤驱动学习收获

已于 2022-05-16 13:16:08 修改
阅读量267 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 学习 驱动开发 windows
于 2019-05-09 18:11:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wishfly/article/details/90044992
linux 专栏收录该内容
414 篇文章 ¥19.90 ¥99.00
订阅专栏
本文介绍了作者在学习文件系统过滤驱动时对设备栈、IO栈和IO_STACK_LOCATION的理解。文章指出,文件系统驱动创建设备对象并处理IRP,而过滤驱动用于拦截和处理IRP。设备栈是由设备对象形成的链,IRP通过设备栈传递,IO_STACK_LOCATION在IRP中记录每个设备的请求参数。文章详细解释了IRP的传递、设备之间的关系以及IRP处理过程中的IO_STACK_LOCATION如何保持一致。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在学习文件系统过滤驱动,学习代码WDK示例sfilter,参考资料:《windows驱动开发技术详解》,《寒江独钓》,谭文的《windows文件系统过滤驱动开发教程》。在这里对我这段时间的学习做一下总结。由于我刚接触windows驱动不久,还是个菜鸟,问中所讲述的都是比较浅显的概念,所以大神请不要黑我。如果有讲的不对的地方,诚请指正,因为这对我的学习就是帮助。

        操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。如图所示,文件系统是内核的一部分,应该就是一个驱动。

象Fat32,NTFS这样的文件系统(File System,简称FS),可能生成好几种设备。首先文件系统驱动本身往往生成一个控制设备(CDO),这个设备的主要任务是修改整个驱动的内部配置。因此一个Driver只对应一个CDO。另一种设备是被这个文件系统Mount的Volume。一个FS可能有多个Volume,也可能一个都没有。解释一下,如果你有C:,D:,E:,F:四个分区。C:,D:为NTFS,E:,F:为Fat32.那么E:,F:则是Fat的两个Volume设备对象.。实际上"C:"是该设备的符号连接(Symbolic Link)名。而不是真正的设备名。可以打Symbolic Links Viewer,能看到:C: \Device\HarddiskVolume1  因此

了解本专栏 订阅专栏 解锁全文
u-boot-2019.10源码分析——init_sequence_f中的函数
gzxb1995的博客
12-10 2313
目录前言1 setup_mon_len2 initf_malloc3 log_init4 initf_bootstage5 setup_spl_handoff6 initf_console_record7 arch_cpu_init8 mach_cpu_init9 initf_dm10 arch_cpu_init_dm==11 board_early_init_f====12 timer_init...
code_recognition(AI开发框架esp-who)
qq56hm的博客
09-14 972
app_main.c app_peripherals.c app_peripherals.h 调用xTaskCreatePinnedToCore()函数将decode_task函数创建任务,在freeRTOS实时性操作系统中运行 decode_task()任务函数中做了以下操作: app_camera_init()初始化摄像头后,如果返回值不等于ESP_OK,说明摄像头初始化失败,调用vTaskDelete(NULL);删除任务并退出 摄像头初始化后会输出一个帧的输出流,调用esp_camera_fb_ge
学习windows驱动(设备对象设备)
mofabang的专栏
10-28 2356
IO相关的操作是围绕设备对象进行的。设备对象分下几类:1、功能设备对象(FDO): 功能驱动设备创建一个FDO,在设备里它位于物理设备(PDO)的上层。2、物理设备对象(PDO): 总线驱动创建PDO,逻辑上代表物理设备本身,功能设备对象(FDO)代表系统对这个PDO做的处理。FDO为什么会被总线驱动创建?是因为FDO代表的物理设备连接到此总线设备上,总线驱动起了承担总线设备的功能驱动作用。3.
驱动对象 设备对象 设备 乱杂谈
jiurl的专栏
12-15 5773
驱动对象 设备对象 设备 乱杂谈作者: JIURL                 主页: http://jiurl.yeah.net         用有限的几句话就舒舒服服的建立起对驱动对象和设备对象的概念是不可能的。刚开始是一片模糊,了解的多了,慢慢就清楚。下面的内容会使你对
设备
ruanben的专栏
02-22 1102
结构底挂接 device移除 device 1. 结构 设备Device Stack)结构与内存中的类似,但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。 如下图所示: 并且由每个 deviceDeviceExtension.AttachedTo 值指向下一层的 device。从而形成
IO_STACK_LOCATION
死胖子的博客
02-07 1728
IO_STACK_LOCATION IO_STACK_LOCATION 结构定义了一个 I/O stack location, 是每个IRP关联的 I/O stack的其中一个入口。 在IRP中的每个I/O stack location 都有一些通用的成员和一些与请求相关的成员。 typedef struct _IO_STACK_LOCATION { UCHAR MajorFunct
IRP与IO_STACK_LOCATION
02-18
每个驱动程序在其处理过程中会更新相应的IO_STACK_LOCATION,从而确保请求沿着驱动正确传递。 - **分配IRP**:IRP的大小取决于所需IO_STACK_LOCATION的数量。`IoAllocateIrp`函数用于分配IRP内存,参数`StackSize...
驱动之二】IO_STACK_LOCATION总结
seedluo815的专栏
05-03 1079
typedef struct _IO_STACK_LOCATION { UCHAR MajorFunction; UCHAR MinorFunction; UCHAR Flags; UCHAR Control; union { // // Parameters for IRP_MJ_CREATE // s
windows驱动开发-设备
苏洛的博客
04-21 1133
设备
IO_STACK_LOCATION — I/O堆
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-17 746
I/O堆    任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的 IO_STACK_LOCATION 结构数组:数组中的每个堆单元都对应一个将处理该IRP的驱动程序,另外还有一个堆单元供IRP的创建者使用(见图5-3)。堆单元中包含该IRP的类型代码和参数信息以及完成函数的地址。下图显示了堆单元的结构。    I/O堆单元数据结构:
文件系统过滤驱动基础知识
夜空
07-12 5975
 文件系统过滤驱动基础知识一、何谓文件系统过滤驱动?     文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。     文件系统过滤驱动可以过滤一个或多个文件系统文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9444
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
Linux-IO-Stack
kidd_3的专栏
02-29 1923
IO stack of Linux kernel
修电脑的码农
03-22 488
遍历设备
qq_41490873的博客
07-31 314
查找设备名 内核对象地址-0x18 为OBJECT_HEADER的地址 kd> dt _OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void +0x008 Type : Ptr32 _OBJECT_TYPE +0x00c NameInfoOffset : UChar
/* File Kmd.cpp By WzrterFX */ #include "Kmd.h" namespace Kmd { NTSTATUS Kmd::Create(PDRIVER_OBJECT driverObject) { NTSTATUS status = STATUS_UNSUCCESSFUL; UNICODE_STRING deviceName { }; RtlInitUnicodeString(&deviceName, L"\\Device\\Kmd"); status = IoCreateDevice( driverObject, NULL, &deviceName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &_deviceObject ); if (!NT_SUCCESS(status)) { DbgPrintEx(0, 0, "Fatal, failed to create driver device.\n" ); return status; } UNICODE_STRING symbolicLink { }; RtlInitUnicodeString(&symbolicLink, L"\\DosDevices\\Kmd"); status = IoCreateSymbolicLink(&symbolicLink, &deviceName); if (!NT_SUCCESS(status)) { DbgPrintEx(0, 0, "Fatal, failed to establish driver link.\n" ); IoDeleteDevice(_deviceObject); return status; } SetFlag(_deviceObject->Flags, DO_BUFFERED_IO); driverObject->MajorFunction[IRP_MJ_CREATE] = [](PDEVICE_OBJECT, PIRP io) -> NTSTATUS { IoCompleteRequest(io, IO_NO_INCREMENT); return io->IoStatus.Status; }; driverObject->MajorFunction[IRP_MJ_CLOSE] = [](PDEVICE_OBJECT, PIRP io) -> NTSTATUS { IoCompleteRequest(io, IO_NO_INCREMENT); return io->IoStatus.Status; }; driverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = &this->KmdControl; ClearFlag(_deviceObject->Flags, DO_DEVICE_INITIALIZING); return STATUS_SUCCESS; } NTSTATUS Kmd::KmdControl(PDEVICE_OBJECT, PIRP io) { NTSTATUS status = STATUS_UNSUCCESSFUL; PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(io); if (!stack) { IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver stack location.\n" ); return status; } PKmdRequest request = reinterpret_cast<PKmdRequest>(io->AssociatedIrp.SystemBuffer); if (!request) { IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver associated request.\n" ); return status; } static PEPROCESS process { }; static SIZE_T reserved { }; switch (stack->Parameters.DeviceIoControl.IoControlCode) { case ::Kmd::_IoCtls::attach: { status = ::Kmd::_NtifsApi::PsLookupProcessByProcessId( request->attachRequest.process, &process ); break; } case ::Kmd::_IoCtls::read: { if (process) { status = ::Kmd::_NtifsApi::MmCopyVirtualMemory( process, request->copyMemoryRequest.from, PsGetCurrentProcess(), request->copyMemoryRequest.to, request->copyMemoryRequest.requested, MODE::KernelMode, &reserved ); } break; } case ::Kmd::_IoCtls::write: { if (process) { status = ::Kmd::_NtifsApi::MmCopyVirtualMemory( PsGetCurrentProcess(), request->copyMemoryRequest.to, process, request->copyMemoryRequest.from, request->copyMemoryRequest.requested, MODE::KernelMode, &reserved ); } break; } default: { status = STATUS_INVALID_DEVICE_REQUEST; break; } } io->IoStatus.Status = status; io->IoStatus.Information = sizeof(KmdRequest); IoCompleteRequest(io, IO_NO_INCREMENT); return status; } }帮我全部加上注释
最新发布
03-22
PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(io); if (!stack) { // 位置验证 IoCompleteRequest(io, IO_NO_INCREMENT); DbgPrintEx(0, 0, "Fatal, missing driver stack location.\n"); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wishfly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值