当前位置：首页 > news >正文

IRP默认最小流程

news 2025/11/5 17:53:09

IRP是Windows内核中的一种非常重要的数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求，操作系统将相应的I/O请求转换成相应的IRP，不同的IRP会根据类型被分派到不同的派遣例程中进行处理。

irp相当于R3下的消息，应用程序对驱动程序进行操作的时候会发出相应的消息，驱动程序根据这些消息做出相应的操作。这些操作通过我们自己编写的派遣函数来决定执行什么样的操作。

当应用层调用 ReadFile WriteFile CreateFile CloseHandle 等WINAPI 函数则会产生对应的IRP类型，这些IRP 也就是 IRP_MJ_CREATE IRP_MJ_WRITE IRP_MJ_READ IRP_MJ_CLOSE 并且传送到驱动的中的派遣函数中。

另外 内核中的 I/O 处理函数也会产生IRP，所以可见IRP并不完全是由应用层产生的。比如内核中的 Zw系列开头的文件操作一样会产生IRP。

IRP类型	来源
IRP_MJ_CREATE	CreateFile/ZwCreateFile
IRP_MJ_READ	ReadFile/ZwReadFile
IRP_MJ_WRITE	WriteFile/ZwWriteFile
IRP_MJ_CLOSE	CloseHandle/ZwClose
...	...
...	...

程序流程：

1.创建设备与符号链接

2.为所有IRP类型设置为默认派遣函数

3.为不同的IRP类型设置派遣函数

4.编写派遣函数来处理收到不懂类型的IRP的不同操作

5.在卸载函数中删除设备与符号链接

设备对象的通信方式

1.基于缓存方式（DO_BUFFERED_IO）：

写入：R0把R3缓冲区的数据复制一份到R0缓冲区里面，写出：R0把数据写入到R3的缓冲区里面

2.直接读写方式（DO_DIRECT_IO）：

R3和R0访问同一块物理页

3.两者皆不方式（DO_FORCE_NEITHER_IO）：

写入：R0直接读取R3的缓冲区，写出：R0直接写入R3的缓冲区

<直接读写方式> 和 <两者皆不方式>很类似，都是直接访问R3的内存地址，但<直接读写方式>有内存映射机制开销比<两者皆不方式>大，然而<基于缓存方式>最安全。

驱动代码：

#include <ntddk.h>#define DEVICE_NAME L"\\device\\MyDricer1" //设备对象名称
#define LINK_NAME L"\\dosdevices\\Goose" //符号链接名称VOID UnDirver(PDRIVER_OBJECT pDriverObj)
{UNICODE_STRING uLinkName = RTL_CONSTANT_STRING(LINK_NAME);//初始化符号链接名称IoDeleteSymbolicLink(&uLinkName);//删除符号链接IoDeleteDevice(pDriverObj->DeviceObject);//删除设备对象DbgPrint("Driver Unloaded.\n");
}NTSTATUS MyMajor(PDEVICE_OBJECT Device, PIRP irp)
{irp->IoStatus.Status = STATUS_SUCCESS;//设置irp处理成功irp->IoStatus.Information = 0;//设置返回的字节数IoCompleteRequest(irp, IO_NO_INCREMENT);//结束irp处理流程DbgPrint("MyMajor");//打印测试return STATUS_SUCCESS;
}NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath) 
{pDriverObj->DriverUnload = UnDirver;UNICODE_STRING uDeviceName = RTL_CONSTANT_STRING(DEVICE_NAME);//初始化设备名称UNICODE_STRING uLinkName = RTL_CONSTANT_STRING(LINK_NAME);//初始化符号链接名称PDEVICE_OBJECT pDeviceObject = NULL;NTSTATUS ntStatus = IoCreateDevice(pDriverObj, 0, &uDeviceName, FILE_DEVICE_UNKNOWN, 0, TRUE, &pDeviceObject);//创建一个设备对象if (ntStatus != STATUS_SUCCESS){DbgPrint("IoCreateDevice failed:%x\n", ntStatus);return ntStatus;}pDeviceObject->Flags |= DO_BUFFERED_IO;//设置设备对象的通信方式：1.基于缓存方式 2.直接读写方式 3.两者皆不方式ntStatus = IoCreateSymbolicLink(&uLinkName, &uDeviceName);//把设备对象和链接名称进行绑定，R3可以通过链接名称访问if (ntStatus != STATUS_SUCCESS){IoDeleteDevice(pDeviceObject);//删除设备对象DbgPrint("IoCreateSymbolicLink failed:%x\n", ntStatus);return ntStatus;}//驱动对象的所有irp回调函数，设置成我的回调函数for (size_t i = 0; i < IRP_MJ_MAXIMUM_FUNCTION + 1; i++){pDriverObj->MajorFunction[i] = MyMajor;}return STATUS_SUCCESS;
}

应用代码：

#include <iostream>
#include <windows.h>#define LINK_NAME L"\\\\.\\Goose" //符号链接名称int main()
{HANDLE hRet = CreateFile(LINK_NAME, GENERIC_ALL, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);if (hRet == INVALID_HANDLE_VALUE){printf("CreateFile failed:%x\n", GetLastError());system("pause");return 0;}DWORD dwRetSize;WriteFile(hRet, L"123", 8, &dwRetSize, NULL);printf("收到数据大小：%d\n", dwRetSize);system("pause");return 0;
}

IRP默认最小流程

相关文章：

IRP默认最小流程

【全网最全】AI产品经理面试高频100题答案解析

VLLM实现大模型服务的部署

Java 基数排序

红帽发送邮件操作

学习记录：js算法（六十一）：添加与搜索单词 - 数据结构设计

Jetpack-ObservableField实现双向绑定

STARnak, LTR 模型笔记

【数据结构】：破译排序算法--数字世界的秩序密码（二）

2024年《生成式ai大模型》都学什么内容呢？

kubernetes自定义pod启动用户

C4T避风型电动采光排烟天窗（图集09J621-2）

多态常见面试问题

案例-登录认证（上）

对BSV区块链下一代节点Teranode的答疑解惑（上篇）

vue父子组件传参的方法

关于this指针

机器学习西瓜书

如何使用 Puppeteer 和 Browserless 运行自动化测试？

python菜鸟知识

Java - Mysql数据类型对应

在Ubuntu中设置开机自动运行（sudo）指令的指南

c#开发AI模型对话

Java面试专项一-准备篇

MySQL用户和授权

让回归模型不再被异常值“带跑偏“，MSE和Cauchy损失函数在噪声数据环境下的实战对比

AI病理诊断七剑下天山，医疗未来触手可及

纯 Java 项目（非 SpringBoot）集成 Mybatis-Plus 和 Mybatis-Plus-Join

站群服务器的应用场景都有哪些？

逻辑回归暴力训练预测金融欺诈