• 转---派遣例程与IRP结构


    派遣例程与IRP结构

     
     

    提到派遣例程,必须理解IRP(I/O Request Package),即"输入/输出请求包"这个重要数据结构的概念。Ring3通过DeviceIoControl等函数向驱动发出I/O请求后,在内核中由操作系统将其转化为IRP的数据结构,并"派遣"到对应驱动的派遣函数中,如图21.1.6所示。

    Ring3程序调用kernel32.dll导出的DeviceIoControl函数后,会调用到ntdll.dll导出的NtDeviceIoControlFile函数,进而调用到系统内核模块提供的服务函数NtDeviceIo ControlFile,该函数会将I/O请求转化为IRP包,并发送到对应驱动的派遣例程函数中。对于其他I/O相关函数,如CreateFile、ReadFile、WriteFile、GetFileSize、SetFileSize、CloseHandle等也是如此。

     
    图21.1.6 从Ring3的I/O请求到内核的IRP请求包

    一个IRP包该发往驱动的哪个派遣例程函数,是由IRP结构中的MajorFunction属性决定的,MajorFunction属性的值是一系列宏,如下所示。

    1. //  
    2. // Define the major function codes for IRPs.  
    3. //  
    4. #define IRP_MJ_CREATE                   0x00  
    5. #define IRP_MJ_CREATE_NAMED_PIPE        0x01  
    6. #define IRP_MJ_CLOSE                    0x02  
    7. #define IRP_MJ_READ                     0x03  
    8. #define IRP_MJ_WRITE                    0x04  
    9. #define IRP_MJ_QUERY_INFORMATION        0x05  
    10. #define IRP_MJ_SET_INFORMATION          0x06  
    11. #define IRP_MJ_QUERY_EA                 0x07  
    12. #define IRP_MJ_SET_EA                   0x08  
    13. #define IRP_MJ_FLUSH_BUFFERS            0x09  
    14. #define IRP_MJ_QUERY_VOLUME_INFORMATION 0x0a  
    15. #define IRP_MJ_SET_VOLUME_INFORMATION   0x0b  
    16. #define IRP_MJ_DIRECTORY_CONTROL        0x0c  
    17. #define IRP_MJ_FILE_SYSTEM_CONTROL      0x0d  
    18. #define IRP_MJ_DEVICE_CONTROL           0x0e  
    19. #define IRP_MJ_INTERNAL_DEVICE_CONTROL  0x0f  
    20. #define IRP_MJ_SHUTDOWN                 0x10  
    21. #define IRP_MJ_LOCK_CONTROL             0x11  
    22. #define IRP_MJ_CLEANUP                  0x12  
    23. #define IRP_MJ_CREATE_MAILSLOT          0x13  
    24. #define IRP_MJ_QUERY_SECURITY           0x14  
    25. #define IRP_MJ_SET_SECURITY             0x15  
    26. #define IRP_MJ_POWER                    0x16  
    27. #define IRP_MJ_SYSTEM_CONTROL           0x17  
    28. #define IRP_MJ_DEVICE_CHANGE            0x18  
    29. #define IRP_MJ_QUERY_QUOTA              0x19  
    30. #define IRP_MJ_SET_QUOTA                0x1a  
    31. #define IRP_MJ_PNP                      0x1b  
    32. #define IRP_MJ_PNP_POWER                IRP_MJ_PNP      // Obsolete....  
    33. #define IRP_MJ_MAXIMUM_FUNCTION         0x1b  

    MajorFunction最多有0x1b(27)个,也就是说驱动中最多可以设置27个不同的派遣例程函数。helloworld.c中为了简单,将所有的派遣例程都设置到了DrvDispatch函数,并且DrvDispatch函数中只做了最简单的处理。

    IRP的数据结构非常复杂,如果全部展示出来恐怕需要好几页的篇幅。"授人以鱼不如授人以渔",因此这里重点给出学习IRP数据结构的方法。

    对于初学者,在安装了最新版的WDK后,可以通过WDK Help中的"WDK Documentation"文档来学习IRP数据结构,如图2示。

     
    (点击查看大图)图21.1.7 通过WDK帮助文档学习内核数据结构IRP

    该文档会重点介绍驱动程序中用到的一些IRP成员的含义和使用方法,另外文档末尾还有一段Comments,也是非常有价值的内容。

    WDK文档中省略了IRP结构中的某些成员(Undocumented members),如果阅读了文档中IRP的Comments后,就会知道这些Undocumented members之所以被保留,是因为只有I/O manager或FSDs才能使用这些成员。为了更全面地了解IRP的数据结构,更直接的办法是找到WDK中定义IRP的头文件,阅读其中的注释。例如,头文件在这里的路径是D:WINDDK7600.16385.0 incddkwdm.h,其中对IRP定义如图21.1.8所示。

     
    图21.1.8 通过WDK头文件wdm.h学习内核数据结构IRP

    为了灵活地查阅内核数据结构信息,还可以使用一些PDB辅助工具。一般地,内核数据结构大多定义在内核模块中。有了内核模块,还需要得到对应的PDB符号文件,这里推荐使用SymbolTypeViewer免费工具来下载符号文件。该工具使用非常简单(下载链接:http://www.laboskopia.com/download/SymbolTypeViewer_v1.0_beta.zip),如图21.1.9所示。

     
    (点击查看大图)图21.1.9 通过SymbolTypeViewer免费工具下载符号文件

    启动SymbolTypeViewer后,单击"File"按钮,选择本机的内核模块文件(例如C:WINDOWSsystem32 tkrnlpa.exe),然后单击"Symbol Path"按钮,选择要保存符号文件的路径,再单击"Server"按钮,选择默认的微软链接,最后单击"Get Symbols"按钮,就开始下载符号了。点击左侧树形控件中的符号项,右侧的"Info"窗口中就会列出该符号的相关信息,例如这里的D:WINDOWSSymbols tkrpamp.pdb140D20ABBC1B433EA7BF82B979B6BF

    9D1 tkrpamp.pdb。

    下一步就是浏览下载到的PDB文件,虽然SymbolTypeViewer工具也支持对内部符号的浏览,但是没有链接功能,不太方便。这里推荐使用另一个专门浏览PDB符号信息的免费工具PDB_Explorer(http://blog.titilima.com/wp-content/uploads/attachments/date_200907/pdbexp_v1.10.zip)。

    启动PDB Explorer后,单击"打开"按钮,选择前面下载的PDB文件,然后在搜索框中输入"_IRP",在选择列出的第一个匹配项"_IRP",在右侧的内容区就可以看到如图21.1.10所示的符号信息。

    可以看到PDB Explorer是支持前进后退的,即展示出的结构体中,如果有类似union或子struct等成员时,还可以"点"进去浏览更多信息。这样浏览的好处是,不至于"一口吃个大胖子",循序渐进地掌握类似IRP这样复杂的内核数据结构。

    以上是一些学习内核数据结构的方法,希望这些内容能够起到"授人以渔"的作用,更希望读者能够通过这些方法逐渐理解IRP结构中每个成员的含义和用法。

     
    (点击查看大图)图21.1.10  通过PDB Explorer免费工具浏览符号文件
    33
  • 相关阅读:
    使用PRTG和panabit结合定位网络阻塞的来源
    jQuery实现全选、反选、删除
    ThinkPHP 5接阿里云短信接口
    《存在与时间》读书笔记(三)
    《存在与时间》读书笔记(二)
    自觉原理第十三章自觉情欲之殇
    【原创】自觉原理第十八章红绿灯下的寂静
    自觉原理第十四章欲之殇痛
    追逐文化答案的青春曲上
    自觉与【转载】《大念住经》原经文【中】
  • 原文地址:https://www.cnblogs.com/littlepear/p/6572531.html
Copyright © 2020-2023  润新知