驱动学习笔记–irp

irp是Windows内核中的一种非常重要的数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求，操作系统将相应的I/O请求转换成相应的IRP，不同的IRP会根据类型被分派到不同的派遣例程中进行处理。

irp相当于ring3下的消息，应用程序对驱动程序进行操作的时候会发出相应的消息，驱动程序根据这些消息做出相应的操作。这些操作通过我们自己编写的派遣函数来决定执行什么样的操作。

看下面流程：

1.为不同的irp类型设置派遣函数

2.编写派遣函数来处理收到不懂类型的irp的不同操作

3.创建设备与符号链接

4.在卸载历程中删除设备与符号链接

流程很简单，但是处理起来就不那么简单了。

代码如下：

 

#include “ntddk.h”
VOID Unload(IN PDRIVER_OBJECT DriverObject)//卸载时删除符号链接
{
 UNICODE_STRING symLinkName;
 RtlInitUnicodeString(&symLinkName,L”//??//mysymboliclink”);
 IoDeleteSymbolicLink(&symLinkName);
 IoDeleteDevice(DriverObject->DeviceObject);
 KdPrint((”Device Delete Success/n”));
}
NTSTATUS MyMajor(IN PDEVICE_OBJECT Device,IN PIRP irp)
{
 PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(irp);//动态获取irp的IO堆栈
 irp->IoStatus.Status = STATUS_SUCCESS;//填充返回的状态值
 irp->IoStatus.Information = 0;
 //判断是否为打开驱动的irp，如果是则输出“IRP_MJ_CREATE”
 if (stack->MajorFunction==IRP_MJ_CREATE)
 {
  KdPrint((”IRP_MJ_CREATE/n”));
 }
 //判断是否为关闭驱动的irp，如果是则输出“IRP_MJ_CLOS”
 if (stack->MajorFunction==IRP_MJ_CLOSE)
 {
  KdPrint((”IRP_MJ_CLOSE/n”));
 }
 IoCompleteRequest( irp, IO_NO_INCREMENT );//结束掉irp
 return irp->IoStatus.Status;//返回
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
 PDEVICE_OBJECT mydevice;//定义设备对象
 UNICODE_STRING devicename;//定义设备名称
 UNICODE_STRING symboliclinkname;//定义符号连接名称
 //为不同的irp类型设置派遣函数
 DriverObject->MajorFunction[IRP_MJ_CREATE]=MyMajor;//打开
 DriverObject->MajorFunction[IRP_MJ_CLOSE]=MyMajor;//关闭
 DriverObject->DriverUnload=Unload;

 RtlInitUnicodeString(&devicename,L”//Device//mydevice”);//初始化设备名称
 RtlInitUnicodeString(&symboliclinkname,L”//??//mysymboliclink”);//初始化符号连接名称
 //创建设备
 IoCreateDevice(
  DriverObject,//驱动对象
  0,
  &devicename,//设备名称
  FILE_DEVICE_UNKNOWN,//类型
  0,
  FALSE,
  &mydevice//设备对象
  );
 //创建符号链接
 IoCreateSymbolicLink(
  &symboliclinkname,//符号链接名称
  &devicename//设备名称
  );

 return STATUS_SUCCESS;
}

下面写一个简单的vc程序打开然后关闭驱动，打开的时候会发送给两个消息转换成irp就是IRP_MJ_CREATE和IRP_MJ_CLOSE,然后截获到输出“IRP_MJ_CREATE和IRP_MJ_CLOSE”。