派遣函数是Windows驱动程序中的重要概念,驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理。
用户模式下所有对驱动程序的I/O请求,全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会被“派遣”到不同的的派遣函数中,这也是派遣函数名字的由来。
IRP处理机制类似Windows应用程序中的“消息处理”机制,驱动程序接到不同类型的IRP之后,会进入不同的派遣函数,在派遣函数中IRP得到处理。
IRP的两个基本的属性:一个是MajorFuntion,一个是MinorFunction,分别记录IRP的主类型和子类型
一般来说,NT式驱动程序和WDM驱动程序都是在DriverEntry函数中注册派遣函数的
在DriverEntry的驱动对象pDriverObject中,有个函数指针数组MajorFuntion,函数指针数组是个数组,每个元素都记录着一个函数的地址。通过设置这个数组,可以将IRP的类型和派遣函数关联起来。
IRP的概念类似Windows应用程序中“消息”的概念。在Win32编程中,程序是由“消息”驱动的。不同的消息,会被分发到不同的消息处理函数中,如果没有对应的处理函数,它会进入到系统默认的消息处理函数中。
IRP的处理这种方式,文件I/O的相关函数,如CreateFile、ReadFile、WriteFile、CloseHandle等函数会使操作系统产生出IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_CLOSE等IRP,并将IRP传送到相应驱动的相应派遣函数中。
还有些IRP是由系统的某个组件创建的,比如IRP_MJ_SHUTDOWN是在Windows的即插即用组件即将关闭系统时发出的。