以下内容来自win7 64位系统
nt!_IRP
+0x000 Type : Int2B
+0x002 Size : Uint2B
+0x008 MdlAddress : Ptr64 _MDL
+0x010 Flags : Uint4B
+0x018 AssociatedIrp :
+0x020 ThreadListEntry : _LIST_ENTRY
+0x030 IoStatus : _IO_STATUS_BLOCK
+0x040 RequestorMode : Char
+0x041 PendingReturned : UChar
+0x042 StackCount : Char
+0x043 CurrentLocation : Char
+0x044 Cancel : UChar
+0x045 CancelIrql : UChar
+0x046 ApcEnvironment : Char
+0x047 AllocationFlags : UChar
+0x048 UserIosb : Ptr64 _IO_STATUS_BLOCK
+0x050 UserEvent : Ptr64 _KEVENT
+0x058 Overlay :
+0x068 CancelRoutine : Ptr64 void
+0x070 UserBuffer : Ptr64 Void
+0x078 Tail :
+0x000 CSHORT Type 保留
+0x002 USHORT Size 保留
+0x008 PMDL MdlAddress MDL用户缓冲区的指针,如果是直接IO请求,则使用这个字段.如果驱动程序不使用直接IO,则该指针为空.IRP请求应该是下面这3中请求:
如果是IRP_MJ_READ,则此为空缓冲或驱动程序填写
如果是IRP_MJ_WRITE,则此缓冲区包含设备或驱动程序的数据
如果是IRP_MJ_DEVICE_CONTROL或IRP_MJ_INTERNAL_DEVICE_CONTROL请求,则根据 IOCTL 指定METHOD_IN_DIRECT或者METHOD_OUT_DIRECT来确定MDL是是包含数据还是空缓冲区.
+0x010 ULONG Flags
文件系统驱动使用这个字段,这个字段是只读字段.说明请求的类型
+0x018 union AssociatedIrp 共用体
AssociatedIrp.MasterIrp 指向IRP中的主IRP的指针,由最上层驱动程序调用IoMakeAssociatedIrp创建.
AssociatedIrp.SystemBuffer 指向系统空间缓冲区的指针,如果驱动程序使用缓冲IO,则缓冲区的目的由IRP主要功能代码决定,功能代码如下:
IRP_MJ_READ
缓冲器从设备或驱动程序接收数据。 缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.Read.Length指定。
IRP_MJ_WRITE
缓冲区提供设备或驱动程序的数据。 缓冲区的长度由驱动程序IO_STACK_LOCATION结构中的Parameters.Write.Length指定。
IRP_MJ_DEVICE_CONTROL 或 IRP_MJ_INTERNAL_DEVICE_CONTROL
缓冲区表示提供给DeviceIoControl和IoBuildDeviceIoControlRequest的输入和输出缓冲区。 输出数据覆盖输入数据。
对于输入,缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.InputBufferLength指定。
对于输出,缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.OutputBufferLength指定。
如果驱动程序使用直接IO,则缓冲区的目的由IRP主要功能代码决定:
IRP_MJ_READ
NULL.
IRP_MJ_WRITE
NULL.
IRP_MJ_DEVICE_CONTROL 或 IRP_MJ_INTERNAL_DEVICE_CONTROL
表示提供给DeviceIoControl和IoBuildDeviceIoControlRequest的输入缓冲区。
缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.InputBufferLength指定。
+0x020 LIST_ENTRY ThreadListEntry 保留
+0x030 IO_STATUS_BLOCK IoStatus
包含IO_STATUS_BLOCK结构,驱动程序在调用IoCompleteRequest之前存储状态和信息。
+0x040 KPROCESSOR_MODE RequestorMode
指示操作的原始请求者的执行模式,UserMode或KernelMode。
+0x041 BOOLEAN PendingReturned
如果设置为TRUE,说明该请求等待完成。
所有完成函数都应该检查这个标志的值。
如果标志为TRUE,则完成函数不因返回STATUS_MORE_PROCESSING_REQUIRED,应该调用IoMarkIrpPending函数将待处理状态转发到设备堆栈中的上层驱动程序。
+0x042 CHAR StackCount 保留
+0x043 CHAR CurrentLocation 保留
+0x044 BOOLEAN Cancel
如果设置为TRUE,则应该取消该IRP请求
+0x045 KIRQL CancelIrql
包含调用IoAcquireCancelSpinLock(取消自旋锁)时驱动程序正在运行的IRQL
+0x046 CCHAR ApcEnvironment 保留
+0x047 UCHAR AllocationFlags 保留
+0x048 PIO_STATUS_BLOCK UserIosb 保留
+0x050 PKEVENT UserEvent 保留
+0x058 union Overlay 保留
+0x068 __volatile PDRIVER_CANCEL CancelRoutine
包含驱动程序提供的取消函数的入口点,如果IRP被取消,则调用该例程。 NULL表示IRP当前不可取消。
+0x070 PVOID UserBuffer
如果满足以下两个条件,则包含输出缓冲区的地址:
I / O堆栈位置中的主要功能代码是IRP_MJ_DEVICE_CONTROL或IRP_MJ_INTERNAL_DEVICE_CONTROL。
I / O控制代码用METHOD_NEITHER或METHOD_BUFFERED定义。
对于METHOD_BUFFERED,驱动程序应使用Irp-> AssociatedIrp.SystemBuffer指向的缓冲区作为输出缓冲区。 当驱动程序完成请求时,I / O管理器将此缓冲区的内容复制到Irp-> UserBuffer指向的输出缓冲区。 驱动程序不应该直接写入Irp-> UserBuffer指向的缓冲区。
+0x078 union Tail
Tail.Overlay.DeviceQueueEntry
如果IRP在与驱动程序设备对象相关联的设备队列中排队,则此字段将IRP链接在设备队列中。 这些链接只能在驱动程序处理IRP时使用。
Tail.Overlay.DriverContext
如果IRP未在与驱动程序设备对象相关联的设备队列中排队,则该字段可由驱动程序用于存储最多四个指针。 此字段只能在驱动程序拥有IRP时使用。
Tail.Overlay.Thread
指向调用者的线程控制块(TCB)的指针。 对于源自用户模式的请求,I / O管理器始终将此字段设置为指向发出请求的线程的TCB。
Tail.Overlay.ListEntry
如果驱动程序管理其自己的IRP内部队列,它使用此字段将一个IRP链接到下一个IRP。 这些链接只能在驱动程序将IRP保存在队列中或正在处理IRP时使用。
Tail.Overlay.AuxiliaryBuffer 保留
Tail.Overlay.CurrentStackLocation 保留
Tail.Overlay.PacketType 保留
Tail.Overlay.OriginalFileObject 保留
Tail.Apc 保留
Tail.CompletionKey 保留