E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
IRP
Filesystem Driver Stack
FilesystemDriverStack作者:tiamo来源:白细胞写这个文章的初衷是想知道究竟一个读写文件的
irp
都是怎样被处理的.....大家都知道这样的一个读写文件
irp
是发送给filesystem
wzsy
·
2012-03-02 17:00
汇编
File
tree
filter
System
disk
27、Windows内核编程,
IRP
的同步(1)
转载自http://www.cnblogs.com/mydomain/archive/2010/11/08/1872222.html27、Windows内核编程,
IRP
的同步(1)对设备的任何操作都会转化为
donglipeng2009
·
2012-02-17 15:00
DeviceIoControl端口隐藏
DeviceIoControl端口隐藏通过HookTCP驱动程序的
Irp
分派例程(irpStack->MajorFunction[
IRP
_MJ_DEVICE_CONTROL])来隐藏应用层查询端口信息#
shiningstar610
·
2012-02-15 08:21
职场
休闲
DeviceIoControl
DeviceIoControl端口隐藏
DeviceIoControl端口隐藏通过HookTCP驱动程序的
Irp
分派例程(irpStack->MajorFunction[
IRP
_MJ_DEVICE_CONTROL])来隐藏应用层查询端口信息#
shiningstar610
·
2012-02-15 08:21
职场
休闲
DeviceIoControl
IO_REMOVE_LOCK使用方法小结
WDM驱动程序在处理设备删除
IRP
并释放驱动程序分配的内存后可能接收到附加的
IRP
。
LoveBeyond
·
2012-01-02 10:00
IRP
和IO_STACK_LOCATION结构
图5-1显示了
IRP
的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个与该请求关联的用户模式缓冲区。
whatday
·
2011-12-27 18:00
IRP
结构
图5-1显示了
IRP
的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个与该请求关联的用户模式缓冲区。
飘雪超人
·
2011-12-27 18:00
数据结构
工作
list
IO
读书笔记_Rootkit技术_文件过滤驱动程序(2)
以下是标准的调度例程: NTSTATUS OurFilterDispatch ( IN PDEVICE_OBJECT DeviceObject, IN PIRP
Irp
) { PIO_STACK_LOCATION
wodamazi
·
2011-11-26 21:00
读书笔记
驱动中的
IRP
grayfox作者主页:http://nokyo.blogbus.com原始出处:http://nokyo.blogbus.com/logs/34005738.html 此前我们可能曾经多次听说过
IRP
wwwgeyang777
·
2011-11-22 15:00
数据结构
windows
struct
object
Parameters
Descriptor
读书笔记_键盘嗅探器(2)
这时
IRP
中并没有可用的数据。相反我们希望在捕获了击键动作之后查看
IRP
——当
IRP
正在沿着设备链向上传输时。 关于I
wodamazi
·
2011-11-21 08:00
读书笔记
围观文件穿越操作
打开文件用IoCreateFile,其他比较好发
irp
的(比如删除操作)走FSDirp删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IATHookMmFlushImageSection但是这样对于独占文件依旧不能处理
wordman
·
2011-11-15 10:40
职场
文件
休闲
穿越
关于Fast I/O和
IRP
这篇文章只是对FastI/O和
IRP
做个简单的区分,不同点做简单的说明而已。NT下FastI/O是一套IOMANAGER与DEVICEDRIVER沟通的另外一套API。
wwwgeyang777
·
2011-10-28 16:00
manager
File
filter
System
callback
asynchronous
<寒江独钓>Windows内核安全编程__具有还原功能的磁盘卷过滤驱动
由于Windows向任何一个设备发送
IRP
请求都会首先发送给这个设备所在设备栈的最上层设备,然后再依次传递下去,这就使得加入的设备在目标设备之前获取
Irp
请求称为可能,这时候就可以加入自己的处理流程。
aksnzhy
·
2011-10-27 19:00
数据结构
编程
windows
null
extension
磁盘
<学习笔记>Windows驱动开发技术详解__
IRP
的同步
对设备的任何操作都会最终转化为
IRP
请求,而
IRP
一般都是由操作系统异步发送的。异步处理
IRP
有助于提高效率,但是有时异步处理会带来逻辑上的错误,这时需要将异步的
IRP
同步化。
aksnzhy
·
2011-10-08 16:00
数据结构
windows
object
api
buffer
extension
Oracle的定时任务
/*查看当前用户的定时任务*/ SELECT JOB,NEXT_DATE,NEXT_SEC,FAILURES,BROKEN FROM USER_JOBS /*建表*/ CREATE TABLE
IRP
_TEST
misxjq
·
2011-10-08 15:00
oracle
存储描述符表(MDL)剖析(二)
首先调用IoAllocateMdl对你需要传递的数据生成一个MDL,它会返回一个MDL结构的指针,然后调用MmBuildMdlForNonPagedPool来更新MDL的内容,最后把这个MDL指针传递给
IRP
namelcx
·
2011-09-29 17:00
存储
<学习笔记>Windows驱动开发技术详解__派遣函数
用户模式下所有对驱动程序的I/O请求,全部由操作系统转换为一个叫做
IRP
数据结构,不同的
IRP
会被“派遣”到不同的派遣函数中。
aksnzhy
·
2011-09-23 10:00
数据结构
windows
object
IO
query
extension
流氓软件及反流氓软件的技术分析2
优先于流氓软件启动,截获所有访问流氓软件文件的
irp
,然后删除注册表项,删除文件。轻松的完成了反流氓任务。为了针对这些反流氓软件,流氓软
popeer
·
2011-09-04 22:00
windows
汇编
360
工具
任务
hook
IRP
中I/O堆栈Parameters.Create参数
IRP
中I/O堆栈Parameters.Create参数
IRP
中I/O堆栈Parameters.Create参数在IO_STACK_LOCATION结构体中,Parameters这个union其中有个Create
aurain
·
2011-09-01 15:00
菜鸟之驱动开发2
在上一篇文章里我们写了第一个驱动程序-HelloWorld,今天我们来完善它,主要完成两个功能:添加一个驱动设备与给驱动添加默认派遣(
IRP
)。首先我们来完成第一个功能:添加一个驱动设备。
favormm
·
2011-08-15 21:00
数据结构
String
api
object
resources
DDK
IRP
和IO_STACK_LOCATION的内存分布
画这个图的目的主要是为了反编译驱动之后的地址计算 0 15 31DS:0x0000TypeSizeDS:0x0004MdlAddressDS:0x0008FlagsDS:0x000CAssociatedIrpDS:0x0010ThreadListEntry.FlinkDS:0x0014ThreadListEntry.BlinkDS:0x0018IoStatusDS:0x0
seasonpplp
·
2011-07-14 13:00
上层和驱动通信
这个函数都会产生一个
IRP
_MJ_DEVICE_CONTROL包,如果驱动中注册过相应的例程,那么这个包就会引发该例程的工作。
msunyutao
·
2011-07-08 08:00
function
IO
manager
File
Access
DDK
文件加密标识 -隐藏文件头的黑客代码
//Thismodulehooks://
IRP
_MJ_READ,
IRP
_MJ_WRITE,
IRP
_MJ_QUERY_INFORMATION,//
IRP
_MJ_SET_INFORMATION,
IRP
_MJ_DIRECTORY_CONTROL
zougangx
·
2011-06-20 22:00
加密
struct
object
File
Integer
Allocation
FastIo接口介绍
由于你的驱动将要绑定到文件系统驱动的上边,文件系统除了处理正常的
IRP
之外,还要处理所谓的FastIo.FastIo是CacheManager 调用所引发的一种没有
irp
的请求。
zougangx
·
2011-06-20 18:00
IO
网络
manager
File
服务器
System
在过滤驱动程序创建
IRP
查询文件信息
不过如果我们在驱动程序当中自己处理信息查询请求,可以避免
IRP
重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInformation(
zougangx
·
2011-06-20 16:00
object
struct
File
Integer
basic
processing
windows的IO管理器内核实现机制原理分析。
管理器的任务就是管理IO,本质上windows的IO操作都是异步的,这是由IO流的分层下递和IRQL共同决定的,效果就是IO流被处理的每一个步骤都可能在任意线程上下文中进行,那么如果最下面的驱动完成了一个
irp
coloriy
·
2011-05-13 10:00
windows
IO
汇编
Microsoft
processing
任务
关于Windows驱动层次结构的笔记
所有发送到这些设备的
IRP
都有本驱动对象所定义的DispatchRoutine来处理,所以可以用来Attach到一个设备栈上来过滤。
digimon
·
2011-04-21 20:00
IRP
概述
原文地址:http://hi.baidu.com/noah1618/blog/item/a946368215a0e6b86d8119fc.html一、简述任何内核模式程序在创建一个
IRP
时,都同时创建了一个与之关联的
digimon
·
2011-04-21 20:00
object
IO
filter
null
processing
任务
驱动咆哮体!
不是IRQL_NOT_LESS_OR_EQUAL就是NO_MORE_
IRP
_STACK_LOCATIONS有木有啊
snowheaven
·
2011-04-15 19:54
职场
驱动
休闲
关于键盘过滤驱动中写入文件乱码的问题的解决!
//----------------------首先:获取扫描码buf=(PCHAR)
Irp
->AssociatedIrp.SystemBuffer;ch1=(CHAR)buf[2]; //这里扫描码要转换为
ccx_john
·
2011-04-15 12:00
工作
String
null
buffer
Windows防火墙之NDIS HOOK和TDI HOOK
1、TDIHOOK TDIClient利用TDI接口,向TDIServer发送
IRP
(I/ORequestPacket)请求包,来获得TDIServer提供的服务。
winsunxu
·
2011-02-20 16:00
windows
网络
server
网络协议
防火墙
hook
类封装的驱动程序
内核驱动,无外乎就是一些数据结构:驱动对象、设备对象、文件对象、
IRP
等;而对这些数据结构的处理就是内核函数:WDM驱动乃是分发函数(DispatchFunc
seloba
·
2011-02-17 09:00
数据结构
框架
文件系统过滤驱动 重要系统调用总结--part1
第五步.处理
IRP
_MJ_FILE_SYSTEM_CONTROL,在其中监控卷设备的
eric491179912
·
2010-12-20 10:00
function
IO
object
File
System
Fast I/O
DDK上专门有一节将
Irp
机制和FastIO机制,其实主要是将FastIO,个人感觉写的很易懂,清晰,大意如下: 对于IO操作,
Irp
机制是最基本、默认的处理机制。
eric491179912
·
2010-12-16 15:00
如何设置
IRP
中的功能码?
I/O栈的结构体定义大概有440几行,定义了很多很多参数,让人应接不暇。我演示我们实际使用中需要使用的几个参数。ⅠDeviceIoControl方式 传入I/O栈的参数结构体,详见IO_STACK_LOCATION结构体 struct{ ULONGOutputBufferLength;
seasonpplp
·
2010-11-19 10:00
应用程序与驱动程序的通信
IRP
的详细图示如下: 这些函数调用使得IO管理器产生相应的
seasonpplp
·
2010-11-18 10:00
windows
IO
开发人员在使用 Windows NT 设备驱动程序时应当避免的事项列表
下面是开发人员在使用WindowsNT设备驱动程序时应当避免的事项列表:一定不要在没有标注I/O请求数据包(
IRP
)挂起(IoMarkIrpPending)的情况下通过调度例程返回STATUS_PENDING
seasonpplp
·
2010-11-11 14:00
编程
windows
IO
api
null
processing
开发人员在使用 Windows NT 设备驱动程序时应当避免的事项列表
下面是开发人员在使用WindowsNT设备驱动程序时应当避免的事项列表:一定不要在没有标注I/O请求数据包(
IRP
)挂起(IoMarkIrpPending)的情况下通过调度例程返回STATUS_PENDING
seasonpplp
·
2010-11-11 14:00
WDM驱动之
IRP
处理:取消
IRP
IRP
请求的最终结局无非有两个:要么被完成了,要么被取消了。完成
IRP
请求的过程已经在前面讲过了,这里仔细讲一个
IRP
请求的取消。为什么要取消
IRP
请求呢?
seasonpplp
·
2010-11-11 13:00
内核API笔记之IoBuildPartialMdl
__inoutPMDLTargetMdl, __inPVOIDVirtualAddress, __inULONGLength );驱动程序可以使用IoBuildPartialMdl来把一个
IRP
seasonpplp
·
2010-11-11 11:00
api
user
buffer
Build
FastIo接口介绍(转)
由于你的驱动将要绑定到文件系统驱动的上边,文件系统除了处理正常的
IRP
之外,还要处理所谓的FastIo.FastIo是CacheManager调用所引发的一种没有
irp
的请求。
zcgzdhxm
·
2010-10-28 10:00
manager
网络
IO
File
服务器
System
TDI FILTER 网络过滤驱动完全解析
在WINDOWS内核中,数据的通信载体是
IRP
包,如果希望截取到
IRP
数据包,当然必须生成核模块以驱动的方式加载
charlesprince
·
2010-10-06 22:00
软件分析
IO_STACK_LOCATION 结构和处理过程
structure defines an I/O stack location , which is an entry in the I/O stack that is associated with each
IRP
tibaloga
·
2010-10-03 11:00
location
FileDisk 线程方式进行
IRP
序列化
刚看完FileDisk代码,感受颇多,其中采用线程的方式进行
IRP
序列化更是让人觉得新鲜.在DDK中一般采用StartIo来进行
IRP
的序列话,其中在入口函数中加入pDriverObject
xxxluozhen
·
2010-09-18 17:00
thread
IO
object
null
buffer
extension
FileDisk 线程方式进行
IRP
序列化
刚看完FileDisk代码,感受颇多,其中采用线程的方式进行
IRP
序列化更是让人觉得新鲜.在DDK中一般采用StartIo来进行
IRP
的序列话,其中在入口函数中加入pDriverObject->DriverStartUp
tibaloga
·
2010-09-18 17:00
File
IRP
处理模型
IRP
处理的“标准模型” 图5-5.
IRP
处理的“标准模型”创建IRPIRP开始于某个实体调用I/O管理器函数创建它。
jw212
·
2010-09-17 16:00
数据结构
工作
object
null
extension
initialization
Filter-Hook Driver入门 -3
*/staticNTSTATUSIfhDispatchClose( IN PDEVICE_OBJECT DeviceObject, IN PIRP
Irp
){ KdPrint((
lwglucky
·
2010-09-10 00:02
入门
driver
职场
休闲
Filter-Hook Driver入门 -3
*/staticNTSTATUSIfhDispatchClose( IN PDEVICE_OBJECT DeviceObject, IN PIRP
Irp
){ KdPrint((
lwglucky
·
2010-09-10 00:02
入门
职场
driver
休闲
Filter-Hook Driver入门 -1
1)调用IoGetDeviceObjectPointer()获取IpFilterDriver相应的设备对象 2)调用IoBuildDeviceIoControlRequest()构造
IRP
lwglucky
·
2010-09-10 00:47
入门
职场
driver
休闲
Filter-Hook Driver入门 -1
1)调用IoGetDeviceObjectPointer()获取IpFilterDriver相应的设备对象 2)调用IoBuildDeviceIoControlRequest()构造
IRP
lwglucky
·
2010-09-10 00:47
入门
职场
driver
休闲
上一页
4
5
6
7
8
9
10
11
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他