HIPS研究第三篇.docVIP

驱动入门科普：从WRK理解IRP IRP Stack之理论篇 By AntBean 写这篇文章的主要目的是整理一下自己最近的驱动学习，从读源码的角度解析驱动程序中极其重要的概念IRP和IRP Stack。暗合侯捷老师所言：源码之下，并无新事。 对像我这种死脑筋的初学者，驱动编写教程上，如果要实现某功能就按这个格式的说法并不能让我满意，反而让我更加糊涂。为啥就要这样编写？IRP到底是啥？IRP Stack呢？为啥我使用DeviceTree看到的IRP Stack的Stack Size并不像教程上讲的那样，我找到的Device Stack为啥Attach时最下面的Device的Stack Size不是1？为啥过滤驱动中要跳过某个IRP就使用 IoSkipCurrentIrpStackLocation而要处理某个IRP就IoCopyCurrentIrpStackLocationToNext()呢？设置IoCompleteRoutine到底有啥用呢？如果我想实现文件过滤驱动，我又怎么知道我的过滤驱动该Attach到哪个Device上呢？啥是CDO？跟普通的Device Object有啥区别？ 如果我想直接发送IRP ，我该怎么做呢？能不能给我一个完整的实现文件夹保护的文件过滤驱动的代码供我研究呢？ 这些事实上就是我初次接触文件过滤驱动时的疑问。楚狂人在文件过滤驱动教程二中有些说法让