本文介绍了作者在学习文件系统过滤驱动时对设备栈、IO栈和IO_STACK_LOCATION的理解。文章指出,文件系统驱动创建设备对象并处理IRP,而过滤驱动用于拦截和处理IRP。设备栈是由设备对象形成的链,IRP通过设备栈传递,IO_STACK_LOCATION在IRP中记录每个设备的请求参数。文章详细解释了IRP的传递、设备之间的关系以及IRP处理过程中的IO_STACK_LOCATION如何保持一致。
最近在学习文件系统过滤驱动,学习代码WDK示例sfilter,参考资料:《windows驱动开发技术详解》,《寒江独钓》,谭文的《windows文件系统过滤驱动开发教程》。在这里对我这段时间的学习做一下总结。由于我刚接触windows驱动不久,还是个菜鸟,问中所讲述的都是比较浅显的概念,所以大神请不要黑我。如果有讲的不对的地方,诚请指正,因为这对我的学习就是帮助。
操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。如图所示,文件系统是内核的一部分,应该就是一个驱动。
象Fat32,NTFS这样的文件系统(File System,简称FS),可能生成好几种设备。首先文件系统驱动本身往往生成一个控制设备(CDO),这个设备的主要任务是修改整个驱动的内部配置。因此一个Driver只对应一个CDO。另一种设备是被这个文件系统Mount的Volume。一个FS可能有多个Volume,也可能一个都没有。解释一下,如果你有C:,D:,E:,F:四个分区。C:,D:为NTFS,E:,F:为Fat32.那么E:,F:则是Fat的两个Volume设备对象.。实际上"C:"是该设备的符号连接(Symbolic Link)名。而不是真正的设备名。可以打Symbolic Links Viewer,能看到:C: \Device\HarddiskVolume1 因此
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
