wdk tips (1): threaded irp和non-threaded irp

nt内核的IO模型中，IRP有两类：threaded irp和non-threaded irp，顾名思义，前者跟thread绑定，后者跟thread无关。当一个threaded irp被创建时，创建线程会有一个队列保存该irp，直到irp完成之后才释放。当你试图让这条线程退出时，系统会检测队列看里面是否还有irp没完成，如果有，线程会一直等待，直到所有的irp全部完成。而non-thread irp则正好相反，如果该irp已经返回到了创建它的地方你还继续complete它，BSOD将会发生。

Threaded IRP

如前面所讲，threaded irp和线程绑定在一起。当user mode程序发起IO操作（比如WriteFile函数），或者一个驱动向另一个驱动发起IO操作（比如ZwWriteFile），IOManager首先找到文件handle对应的驱动栈，获取栈顶的PDEVICE_OBJECT，生成一个irp，将IO操作的各种信息放入irp中，并将此irp放入线程的irp队列中，然后调用IoCallDriver将irp转给驱动栈一层层处理，每往下一层，IO_STACK_LOCATION中的指针就会往下移一个位置（实际情况比这稍微复杂一点点，以后再说，现在先把它想成是一个栈，每往下一层就是push一次），直到最后跟硬件打完交道返回。返回的过程正好与上述相反。最末一层处理完irp后，会调用IoCompleteRequest，此函数会将IO_STACK_LOCATION指针往上移（pop），并最后调用上层驱动设置的CompletRoutine。每层的CompleteRoutine做完相应工作后都会调用IoCompleteRequest讲irp继续往上转，直到栈顶PDEVICE_OBJECT。此时IO_STACK_LOCATION已经在顶部，所谓再上层的CompleteRoutine也不存在，所以本层CompleteRoutine中操作将irp归还给IOManager，IOManager负责回收资源，并从线程irp队列中去除相应的项。

这个过程和函数调用很像，像到你都会发问：为什么搞成这种模式，函数调用和返回不也有压栈出栈的操作吗，干嘛不借用这套机制反而要另起炉灶单独搞一套。答案很简单，就是效率。nt内核的IO操作全是异步的，调用IoCallDriver的线程和CompleteRoutine响应到的线程，不一定是同一条。关于这点我们以后再谈，但它却引出了一个目前我们就需要关心的问题：既然CompleteRotine的线程环境可能已经切换了，那么IOManager如何知道从哪个线程的irp队列里去除相应项？答案也很简单，就是保存在irp中。每一个threaded irp的PIRP->Thread域都保存它的创建线程，IOManager就是用它来寻找线程。注意：有人会想从PIRP->Thread里获得当前线程的信息，这是不对的。

Non-threaded irp

non-threaded irp一般都由驱动创建而不是IOManager，线程不在irp队列里保存它的实例，并且它的PIRP->Thread为NULL。当CompleteRoutine一路返回调到该irp的创建者时，千万不要返还给IOManager，直接free掉就可以了。

irp创建函数

从user mode一路下来的irp一定是threaded irp这很明显。那么内核态的函数中，哪些是创建threaded irp，哪些是创建non-threaed irp的？以下表格列出了各函数：

non-threaded	threaded
IoAllocateIrp	IoBuildSynchronousFsdRequest
IoBuildAsynchronousFsdRequest	IoBuildDeviceIoControlRequest
	TdiBuildInternalDeviceControlIrp

这里有个特例：IoMakeAssociatedIrp， 它是non-threaded irp,但是你不能直接free掉它，还是要调用IoCompleteRequest，让它的主管irp去释放。