以下内容来自win7 64位系统

nt!_IRP

+0x000 Type             : Int2B

+0x002 Size             : Uint2B

+0x008 MdlAddress       : Ptr64 _MDL

+0x010 Flags            : Uint4B

+0x018 AssociatedIrp    :

+0x020 ThreadListEntry  : _LIST_ENTRY

+0x030 IoStatus         : _IO_STATUS_BLOCK

+0x040 RequestorMode    : Char

+0x041 PendingReturned  : UChar

+0x042 StackCount       : Char

+0x043 CurrentLocation  : Char

+0x044 Cancel           : UChar

+0x045 CancelIrql       : UChar

+0x046 ApcEnvironment   : Char

+0x047 AllocationFlags  : UChar

+0x048 UserIosb         : Ptr64 _IO_STATUS_BLOCK

+0x050 UserEvent        : Ptr64 _KEVENT

+0x058 Overlay          :

+0x068 CancelRoutine    : Ptr64     void

+0x070 UserBuffer       : Ptr64 Void

+0x078 Tail             :

+0x000 CSHORT Type 保留

+0x002 USHORT Size 保留

+0x008 PMDL MdlAddress MDL用户缓冲区的指针,如果是直接IO请求,则使用这个字段.如果驱动程序不使用直接IO,则该指针为空.IRP请求应该是下面这3中请求:

如果是IRP_MJ_READ,则此为空缓冲或驱动程序填写

如果是IRP_MJ_WRITE,则此缓冲区包含设备或驱动程序的数据

如果是IRP_MJ_DEVICE_CONTROL或IRP_MJ_INTERNAL_DEVICE_CONTROL请求,则根据 IOCTL 指定METHOD_IN_DIRECT或者METHOD_OUT_DIRECT来确定MDL是是包含数据还是空缓冲区.

+0x010 ULONG Flags

文件系统驱动使用这个字段,这个字段是只读字段.说明请求的类型

+0x018 union AssociatedIrp 共用体

AssociatedIrp.MasterIrp 指向IRP中的主IRP的指针,由最上层驱动程序调用IoMakeAssociatedIrp创建.

AssociatedIrp.SystemBuffer 指向系统空间缓冲区的指针,如果驱动程序使用缓冲IO,则缓冲区的目的由IRP主要功能代码决定,功能代码如下:

IRP_MJ_READ

缓冲器从设备或驱动程序接收数据。 缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.Read.Length指定。

IRP_MJ_WRITE

缓冲区提供设备或驱动程序的数据。 缓冲区的长度由驱动程序IO_STACK_LOCATION结构中的Parameters.Write.Length指定。

IRP_MJ_DEVICE_CONTROL 或 IRP_MJ_INTERNAL_DEVICE_CONTROL

缓冲区表示提供给DeviceIoControl和IoBuildDeviceIoControlRequest的输入和输出缓冲区。 输出数据覆盖输入数据。

对于输入，缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.InputBufferLength指定。

对于输出，缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.OutputBufferLength指定。

如果驱动程序使用直接IO，则缓冲区的目的由IRP主要功能代码决定：

IRP_MJ_READ

NULL.

IRP_MJ_WRITE

NULL.

IRP_MJ_DEVICE_CONTROL 或 IRP_MJ_INTERNAL_DEVICE_CONTROL

表示提供给DeviceIoControl和IoBuildDeviceIoControlRequest的输入缓冲区。

缓冲区的长度由驱动程序的IO_STACK_LOCATION结构中的Parameters.DeviceIoControl.InputBufferLength指定。

+0x020 LIST_ENTRY ThreadListEntry 保留

+0x030 IO_STATUS_BLOCK IoStatus

包含IO_STATUS_BLOCK结构，驱动程序在调用IoCompleteRequest之前存储状态和信息。

+0x040 KPROCESSOR_MODE RequestorMode

指示操作的原始请求者的执行模式，UserMode或KernelMode。

+0x041 BOOLEAN PendingReturned

如果设置为TRUE，说明该请求等待完成。

所有完成函数都应该检查这个标志的值。

如果标志为TRUE，则完成函数不因返回STATUS_MORE_PROCESSING_REQUIRED，应该调用IoMarkIrpPending函数将待处理状态转发到设备堆栈中的上层驱动程序。

+0x042 CHAR StackCount 保留

+0x043 CHAR CurrentLocation 保留

+0x044 BOOLEAN Cancel

如果设置为TRUE,则应该取消该IRP请求

+0x045 KIRQL CancelIrql

包含调用IoAcquireCancelSpinLock(取消自旋锁)时驱动程序正在运行的IRQL

+0x046 CCHAR ApcEnvironment 保留

+0x047 UCHAR AllocationFlags 保留

+0x048 PIO_STATUS_BLOCK UserIosb 保留

+0x050 PKEVENT UserEvent 保留

+0x058 union Overlay 保留

+0x068 __volatile PDRIVER_CANCEL CancelRoutine

包含驱动程序提供的取消函数的入口点，如果IRP被取消，则调用该例程。 NULL表示IRP当前不可取消。

+0x070 PVOID UserBuffer

如果满足以下两个条件，则包含输出缓冲区的地址：

I / O堆栈位置中的主要功能代码是IRP_MJ_DEVICE_CONTROL或IRP_MJ_INTERNAL_DEVICE_CONTROL。

I / O控制代码用METHOD_NEITHER或METHOD_BUFFERED定义。

对于METHOD_BUFFERED，驱动程序应使用Irp-> AssociatedIrp.SystemBuffer指向的缓冲区作为输出缓冲区。 当驱动程序完成请求时，I / O管理器将此缓冲区的内容复制到Irp-> UserBuffer指向的输出缓冲区。 驱动程序不应该直接写入Irp-> UserBuffer指向的缓冲区。

+0x078 union Tail

Tail.Overlay.DeviceQueueEntry

如果IRP在与驱动程序设备对象相关联的设备队列中排队，则此字段将IRP链接在设备队列中。 这些链接只能在驱动程序处理IRP时使用。

Tail.Overlay.DriverContext

如果IRP未在与驱动程序设备对象相关联的设备队列中排队，则该字段可由驱动程序用于存储最多四个指针。 此字段只能在驱动程序拥有IRP时使用。

Tail.Overlay.Thread

指向调用者的线程控制块（TCB）的指针。 对于源自用户模式的请求，I / O管理器始终将此字段设置为指向发出请求的线程的TCB。

Tail.Overlay.ListEntry

如果驱动程序管理其自己的IRP内部队列，它使用此字段将一个IRP链接到下一个IRP。 这些链接只能在驱动程序将IRP保存在队列中或正在处理IRP时使用。

Tail.Overlay.AuxiliaryBuffer 保留

Tail.Overlay.CurrentStackLocation 保留

Tail.Overlay.PacketType 保留

Tail.Overlay.OriginalFileObject 保留

Tail.Apc 保留

Tail.CompletionKey 保留