当前位置：首页 > article >正文

IRP默认最小流程

article 2024/10/26 21:35:59

IRP是Windows内核中的一种非常重要的数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求，操作系统将相应的I/O请求转换成相应的IRP，不同的IRP会根据类型被分派到不同的派遣例程中进行处理。

irp相当于R3下的消息，应用程序对驱动程序进行操作的时候会发出相应的消息，驱动程序根据这些消息做出相应的操作。这些操作通过我们自己编写的派遣函数来决定执行什么样的操作。

当应用层调用 ReadFile WriteFile CreateFile CloseHandle 等WINAPI 函数则会产生对应的IRP类型，这些IRP 也就是 IRP_MJ_CREATE IRP_MJ_WRITE IRP_MJ_READ IRP_MJ_CLOSE 并且传送到驱动的中的派遣函数中。

另外 内核中的 I/O 处理函数也会产生IRP，所以可见IRP并不完全是由应用层产生的。比如内核中的 Zw系列开头的文件操作一样会产生IRP。

IRP类型	来源
IRP_MJ_CREATE	CreateFile/ZwCreateFile
IRP_MJ_READ	ReadFile/ZwReadFile
IRP_MJ_WRITE	WriteFile/ZwWriteFile
IRP_MJ_CLOSE	CloseHandle/ZwClose
...	...
...	...

程序流程：

1.创建设备与符号链接

2.为所有IRP类型设置为默认派遣函数

3.为不同的IRP类型设置派遣函数

4.编写派遣函数来处理收到不懂类型的IRP的不同操作

5.在卸载函数中删除设备与符号链接

设备对象的通信方式

1.基于缓存方式（DO_BUFFERED_IO）：

写入：R0把R3缓冲区的数据复制一份到R0缓冲区里面，写出：R0把数据写入到R3的缓冲区里面

2.直接读写方式（DO_DIRECT_IO）：

R3和R0访问同一块物理页

3.两者皆不方式（DO_FORCE_NEITHER_IO）：

写入：R0直接读取R3的缓冲区，写出：R0直接写入R3的缓冲区

<直接读写方式> 和 <两者皆不方式>很类似，都是直接访问R3的内存地址，但<直接读写方式>有内存映射机制开销比<两者皆不方式>大，然而<基于缓存方式>最安全。

驱动代码：

#include <ntddk.h>

#define DEVICE_NAME L"\\device\\MyDricer1" //设备对象名称
#define LINK_NAME L"\\dosdevices\\Goose" //符号链接名称

VOID UnDirver(PDRIVER_OBJECT pDriverObj)
{
	UNICODE_STRING uLinkName = RTL_CONSTANT_STRING(LINK_NAME);//初始化符号链接名称
	IoDeleteSymbolicLink(&uLinkName);//删除符号链接
	IoDeleteDevice(pDriverObj->DeviceObject);//删除设备对象
	DbgPrint("Driver Unloaded.\n");
}

NTSTATUS MyMajor(PDEVICE_OBJECT Device, PIRP irp)
{
	irp->IoStatus.Status = STATUS_SUCCESS;//设置irp处理成功
	irp->IoStatus.Information = 0;//设置返回的字节数
	IoCompleteRequest(irp, IO_NO_INCREMENT);//结束irp处理流程
	DbgPrint("MyMajor");//打印测试
	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath) 
{
	pDriverObj->DriverUnload = UnDirver;

	UNICODE_STRING uDeviceName = RTL_CONSTANT_STRING(DEVICE_NAME);//初始化设备名称
	UNICODE_STRING uLinkName = RTL_CONSTANT_STRING(LINK_NAME);//初始化符号链接名称
	PDEVICE_OBJECT pDeviceObject = NULL;
	NTSTATUS ntStatus = IoCreateDevice(pDriverObj, 0, &uDeviceName, FILE_DEVICE_UNKNOWN, 0, TRUE, &pDeviceObject);//创建一个设备对象
	if (ntStatus != STATUS_SUCCESS)
	{
		DbgPrint("IoCreateDevice failed:%x\n", ntStatus);
		return ntStatus;
	}
	pDeviceObject->Flags |= DO_BUFFERED_IO;//设置设备对象的通信方式：1.基于缓存方式 2.直接读写方式 3.两者皆不方式
	ntStatus = IoCreateSymbolicLink(&uLinkName, &uDeviceName);//把设备对象和链接名称进行绑定，R3可以通过链接名称访问
	if (ntStatus != STATUS_SUCCESS)
	{
		IoDeleteDevice(pDeviceObject);//删除设备对象
		DbgPrint("IoCreateSymbolicLink failed:%x\n", ntStatus);
		return ntStatus;
	}
	//驱动对象的所有irp回调函数，设置成我的回调函数
	for (size_t i = 0; i < IRP_MJ_MAXIMUM_FUNCTION + 1; i++)
	{
		pDriverObj->MajorFunction[i] = MyMajor;
	}

	return STATUS_SUCCESS;
}

应用代码：

#include <iostream>
#include <windows.h>

#define LINK_NAME L"\\\\.\\Goose" //符号链接名称

int main()
{
    HANDLE hRet = CreateFile(LINK_NAME, GENERIC_ALL, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hRet == INVALID_HANDLE_VALUE)
    {
        printf("CreateFile failed:%x\n", GetLastError());
        system("pause");
        return 0;
    }
    DWORD dwRetSize;
    WriteFile(hRet, L"123", 8, &dwRetSize, NULL);
    printf("收到数据大小：%d\n", dwRetSize);
    system("pause");
    return 0;
}