irp

驱动程序中IRP处理机制类似Windows应用程序中的"消息处理"机制。在Windows内核中，有个复杂的数据结构IRP，这是与输入输出相关的数据结构。上层应用程序与底层驱动程序通信时，应用程序会发出I/O请求，操作系统将I/O请求转化成相应的IRP数据，不同类型的IRP会根据类型传递到不同的派遣函数内。

IRP有两个基本的属性，MajorFunction和MinorFunction，分别记录IRP的主类型和子类型。操作系统根据MajorFunction将IRP"派遣"到不同的派遣函数中。在派遣函数中，还能继续判断这个IRP属于哪种MinorFunction。

在DriverEntry的驱动对象pDriverObject中，有个函数指针数组MajorFunction。通过设置这个数组，可以将IRP的类型和派遣函数关联起来，如：

pDriverObject->MajorFunction[IRP_MJ_PNP] = HelloWDMPnp;
 pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] =
 pDriverObject->MajorFunction[IRP_MJ_CREATE] =
 pDriverObject->MajorFunction[IRP_MJ_READ] =
 pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloWDMDispatchRoutine;
 pDriverObject->DriverUnload = HelloWDMUnload;

 

IRP是如何产生呢？

一种是文件的I/O的相关函数，如CreateFile、ReadFile、WriteFile、CloseHandle等函数会使操作系统产生出IRP_MJ_CREATE、IRP_MJ_WRITE、IRP_MJ_CLOSE等不同的IRP，这些IRP会被传送到驱动程序的派遣函数中。

另外，内核中的文件I/O处理函数，如ZwCreateFile、ZwReadFile、ZwWriteFile、ZwClose，也会创建相应的IRP_MJ_CREATE、IRP_MJ_WRITE、IRP_MJ_CLOSE等不同的IRP，这些IRP会被传送到驱动程序的派遣函数中。

还有些是系统某个组件创建的，如IRP_MJ_SHUTDOWN是在Windows的即插即用组件在即将关闭系统的时候发出的。