IRP

驱动开发之二 --- 输入输出控制 【译文】

21068ffb6e0d2d136c22eb0c.html理论:这是驱动开发的第二篇,在上篇中讲述了如何创建一个简单的设备驱动程序,为了突出重点,有些细节的东西略过了,这些将在本篇中进行详细介绍,本篇内容涉及Read函数,输入/输出控制,以及一些irp
iniwf·2009-03-23 21:00

透明加密驱动开发心得

最近研究文件透明加密驱动的开发,基于MiniFilter具体实现方式是在一文件尾加一块我自己的数据,在IRP_CREATE时中通过FltSetInformationFile()去掉这个数据块在CleanUp
laokaddk·2009-01-13 17:59

驱动层端口隐藏示例

驱动层端口隐藏示例/************************************************************ 驱动层隐藏端口示例: 说明:通过HookTCP驱动程序的Irp
ViskerWong·2009-01-13 10:00

IRP_MJ_CREATE

IRP_MJ_CREATE发送时机:IO管理器在一个文件或目录创建时,或一个已存在的文件,设备,目录,Volume被打开时发送此IRP.通常在应用层调用CreateFile,或内核层调用:IoCreateFileIoCreateFileSpecifyDeviceObjectHintZwCreateFileZwOpenFile
laokaddk·2009-01-09 16:26

详解IRP_MJ_CLOSE与IRP_MJ_CLEANUP的区别

IRIRP_MJ_CLOSE发送时机:当FO的引用为0时,发送此IRP.通常是由于文件系统驱动或其它内核组件调用ObDereferenceObject()而引发的.ObDereferenceObjectCLOSE
laokaddk·2009-01-09 15:10

跟踪NtReadFile系统服务的执行过程

大概流程是是Win32API——NativeAPI——系统调用陷入——内核内部例程创建IRP——传递给相应驱动程序。至于驱动程序执行完之后的是我就不甚了解了,但是知
saict·2009-01-02 22:00

minifilter中可以发送IRP

发现在minifilter也可以自己创建IRP向下层发送,使用IoBulidDeviceIoctol时极为有用,目前没有发现minifilter有替代IoBulidDeviceIoctl的方法. 
laokaddk·2008-11-24 23:45

驱动程序编写及虚拟机调试方式简介

如果顶级设备对象的Flags域为DO_DIRECT_IO,则I/O管理器为IRP_MJ_READ或IRP_MJ_WRITE请求创建这个MDL。
speedingboy·2008-10-09 14:00

利用IoBuildDeviceIoControlRequest构造irp获得存储设备总线类型源代码

 本代码演示用IoBuildDeviceIoControlRequest向下层存储设备的DeviceObject发送一个代码为IOCTL_STORAGE_QUERY_PROPERTY的IRP_MJ_DEVICE_IO_CONTROL
gxfan·2008-09-08 16:00

关于 IRP_MJ_CREATE

IRP_MJ_CREATE[本文摘自MSDN,翻译不好敬请指正,谢谢]Everykernel-modedrivermusthandleIRP_MJ_CREATErequestsinaDispatchCreateorDispatchCreateCloseroutine
没画完的画·2008-08-28 12:00

总结:使用IoMarkPending的原因及原理

 为了使系统吞吐量最大化,I/O管理器希望驱动程序推迟其耗时IRP的完成。驱动程序通过在某个派遣例程中调用IoMarkIrpPending函数并返回STATUS_PENDING来表示完成操作被推迟。
gxfan·2008-07-28 11:00

Filesystem Driver Stack by tiamo

FilesystemDriverStack作者:tiamo来源:白细胞写这个文章的初衷是想知道究竟一个读写文件的irp都是怎样被处理的.....大家都知道这样的一个读写文件irp是发送给filesystem
wf520pb·2008-07-14 10:00

若干关于 file system driver stack

写这个文章的初衷是想知道究竟一个读写文件的irp都是怎样被处理的.....大家都知道这样的一个读写文件irp是发送给filesystem的driver的filesystem把这个irp交给了下层的device
wf520pb·2008-07-13 16:00

读懂常见IRP:IRP_MJ_CLEANUP/IRP_MJ_CLOSE/IRP_MJ_CREATE

IRP_MJ_CLEANUP保持进程定义上下文信息的驱动器,必须在DispatchCleanup中包含cleanup请求。
wf520pb·2008-07-13 16:00

NtCreatFile函数的参数传递分析 - zl21 - 程序员网志 - Powered By PHPWind.Net

:写这篇分析的目的:m^mNa8$最近在反汇编一个驱动程序时,看到CreateDispacth里面有这么一段操作:F{>TglX1f;eax=IoGetCurrentIrpLocationStack(Irp
chief1985·2008-05-22 21:00

[转]++对USB驱动程序的理解

在USER和KERNEL通信方面,系统将每一个用户请求打包成IRP结构,将其发送至驱动程序,并通过识别IRP中的PDO来区别是发送给哪个设备的。另外,在驱动程序加载方面,WD
stonylee·2008-05-05 15:00

标志为IRP_PAGING_IO的IRP有什么特殊的性质?

从目前的认识来看IRP_PAGING_IO是发生Pagefault时从CacheManager管理器发出的.它具有很多不一般的特性. 1.此时文件系统应该避免获得任何资源(用来进行同步)2.在处理读/写请求时绝不应该发生
laokaddk·2008-04-27 15:46

Rolling Your Own

RollingYourOwn(译)RollingYourOwn在这篇文章中我将描述如何自己构造IRP还有I/O管理器提供一些分配和管理IRPs的例程。
ViskerWong·2008-04-23 09:00

驱动学习笔记bosch

过滤驱动:就是在消息(irp)到达目的地之前将其截获,可以改变最终驱动的行为。功能驱动:实现最终的设备功能。
xuplus·2008-04-18 11:00

IRP的理解

IRP的理解 驱动程序与I/O管理器通信,使用的是IRP,即I/O请求包。IRP分为2部分:1)IRP首部;2)IRP堆栈。
xuplus·2008-04-14 20:00

转载BDA驱动学习笔记(4--6)

BDA驱动学习笔记(4):IRP NT中的驱动采用分层结构,一个应用层的IO命令需要通过IO子系统,IO系统服务层,若干层的驱动,最后才能到达硬件,硬件有什么数据需要返回,也需要经过这些层,一点都不能省
xiaoxiongli·2008-01-10 22:00

读懂常见IRP:IRP_MJ_CLEANUP\IRP_MJ_CLOSE\IRP_MJ_CREATE

读懂常见IRP:IRP_MJ_CLEANUP\IRP_MJ_CLOSE\IRP_MJ_CREATE根据MSDN翻译的,网上许多兄弟问此类的问题,解答很少。希望本文能有所帮助。
只有有耐心圆满完成简单工作的人,才能够轻而易举地完成困难的事。·2007-12-22 16:00

App- drive通讯

这个函数都会产生一个IRP_MJ_DEVICE_CONTROL包,如果驱动中注册过相应的例程,那么这个包就会引发该例程的工作。
wuna66320·2007-12-17 13:00

用远线程实现文件自删除

当然,还有用驱动发IRP的方式,不过这只是一个自删除,杀鸡焉用
ijavagos·2007-11-23 11:00

用户空间和设备驱动程序通信

用户空间和设备驱动程序通信CreateFileReadFileWriteFileDeviceIoControl(将会产生IRP包)Closehandle
井泉·2007-11-20 09:00

Windows文件系统过滤驱动开发教程(9,10)

但是有时候比如加解密操作,我希望从下层读到数据,解密后,我自己来完成这一IRP请求。
ericshang·2007-11-16 23:22

Windows文件系统过滤驱动开发教程(7,8)

7.IRP完成函数,中断级,如何超越中断级别的限制先讨论一下Volumne设备是如何得到的.首先看以下几个函数://------------------wdf.h中的内容----------------
ericshang·2007-11-16 23:58

Windows文件系统过滤驱动开发教程(6)

6.IRP的传递,FileSystemControlDispatch我们现在不得不开始写dispatchfunctions.因为你的设备已经绑定到文件系统控制设备上去了。
ericshang·2007-11-16 23:58

Windows文件系统过滤驱动开发教程(4,5)

4.设备栈,过滤,文件系统的感知前边都在介绍文件系统驱动的结构,却还没讲到我们的过滤驱动如何能捕获所有发给文件系统驱动的irp,让我们自己来处理?前面已经解释过了设备对象。现在来解释一下设备栈。
ericshang·2007-11-16 23:55

Symantec 核心驱动 symtdi.sys 本地权限提升漏洞

/www.whitecell.org[/url]Date:    2007-07-3最近通过反汇编分析发现了一个symantec的漏洞,这个漏洞是在symtdi.sys中存在的,由 于驱动程序中处理IRP_MJ_DEVICE_CONTROL
foxhack·2007-10-27 22:20

突破icesword实现文件隐藏

基本原理就是自己构造一个irp出来,然后直接IoCallDriver发送到fsd。但是 icesword做了更多的工作。
izuoyan·2007-10-21 16:00

kernel Driver Dll 内核模式 DLL编写

(1)可以为IRP处理提供支持例程,但它不接收IRP,所以它不包含派遣例程.(2)不存在设备堆栈中(3)在服务控制管理器中没有入口点函数(不作为系统服务)(4)它确实有DriverEntry例程,但仅仅是为了使代码能编译通过而已
Blue_Dream_·2007-10-09 08:00

IceSword&Rootkit Unhooker驱动简析

---------------------0.进程 (略)1.端口 IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP
xiong2127·2007-09-29 17:17

IceSword&Rootkit Unhooker驱动简析

---------------------0.进程 (略)1.端口 IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP
iiprogram·2007-09-29 17:00

突破icesword实现文件隐藏

基本原理就是自己构造一个irp出来,然后直接IoCallDriver发送到fsd。但是icesword做了更多的工作。
iiprogram·2007-08-14 11:00

小议文件保护和锁定技术

,但就文件不可删除的实现技术可分三类: 1Attachfilesystem;这种技术和Filemon/sfilter查不多,就是挂一个filter驱动到fs上,其他函数都是passthru下去,只处理IRP_MJ_SET_INFORMATION
iiprogram·2007-08-13 12:00

文件过滤驱动开发辅助工具集

IrpTracker:跟踪IRP的一个工具;
elva·2007-07-31 15:00

函数......ObReferenceObjectByHandle

我们只能给FileObject发送IRP
wuna66320·2007-07-22 20:00

symtdi.sys本地权限提升漏洞

:原创文章提交:shadow3-NE365(shadow3_at_dark2s.org)最近通过反汇编分析发现了一个symantec的漏洞,这个漏洞是在symtdi.sys中存在的,由于驱动程序中处理IRP_MJ_DEVICE_CONTROL
cnbird2008·2007-07-16 13:00

文件加密标识 -隐藏文件头的黑客代码

文件加密标识-隐藏文件头的黑客代码文件加密标识-隐藏文件头的黑客代码//Thismodulehooks://IRP_MJ_READ,IRP_MJ_WRITE,IRP_MJ_QUERY_INFORMATION
elva·2007-05-07 23:00

卡巴斯基 , windows 2000 professional , 蓝屏问题

提示信息:No more IRP stack locations 估计出现原因为:多个防火墙或软件之间产生冲突。
ihuashao·2007-04-09 23:00

Windows NT 驱动程序开发人员提示 -- 应注意避免的事项

WindowsNT驱动程序开发人员提示--应注意避免的事项1.一定不要在没有标注I/O请求数据包(IRP)挂起(IoMarkIrpPending)的情况下通过调度例程返回STATUS_PENDING。 
startexcel·2007-01-13 16:00

动态御载键盘过滤驱动

为了得到一个按键操作,首先需要发送一个IRP_MJ_READ到驱
startexcel·2007-01-13 15:00

上周技术关注:流氓软件及反流氓软件的技术分析

因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。删除注册表函数会被替换。
coderChen·2006-12-27 09:00

驱动学习(3)-编译缺少LIB

__USBD_GetUSBDIVersion@4referencedinfunction"long__stdcallUsbKbdCreate(struct_DEVICE_OBJECT*,struct_IRP
xgbing·2006-12-02 13:00

开发键盘过滤驱动实现模拟按键过程中遇到的问题___续

上次解决了动态加载和御载的问题,这里主要说说模拟按键的问题.最开始我采用直接保存IRP_MJ_READ后向下CallDriver()传递,要模拟的时候就填数据后IoComplateRequest完成 保存的
rageliu·2006-11-30 13:00

开发键盘过滤驱动实现模拟按键过程中遇到的问题

为了得到一个按键操作,首先需要发送一个IRP_MJ_READ到驱动的设备栈,驱动收到这个ir
rageliu·2006-11-24 17:00

上周技术关注:流氓软件及反流氓软件的技术分析

因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。删除注册表函数会被替换。
coderChen·2006-11-06 22:00

上周技术关注:流氓软件及反流氓软件的技术分析

因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。删除注册表函数会被替换。
coderChen·2006-11-06 22:00

流氓软件及反流氓软件的技术分析2

优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。轻松的完成了反流氓
Junky's IT Notebook·2006-09-24 13:00
上一页 5 6 7 8 9 10 11 12 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他