[再mark] 系统注册的dpc,枚举定时器相关的……

最新推荐文章于 2023-04-18 20:09:55 发布
最新推荐文章于 2023-04-18 20:09:55 发布
阅读量1.4k 收藏
点赞数
分类专栏: rootkit 文章标签: timer io 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7640176
版权

续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html

刚没事儿又看了下~mark而已啊~

 

1. ExpTimerDpcRoutine

 

R3程序调用NtCreateTimer

 

创建句柄对应Etimer,etimer包含一个ktimer结构,最终是通过ktimer的dpc机制实现的

 

Ktimer的dpc是ExpTimerDpcRoutine,Routine context是etimer,这个routine插入apc  ExpTimerApcRoutine 通知线程


这个apc是ntdll!RtlpTimerThread

 

ETIMER. ApcAssociated为0的话,就不用管了,timer这时候已经expire了

 

2. IopTimerDispatch

 

IoStartTimer是给驱动用的定时器

 

       RtlZeroMemory( timer, sizeof( IO_TIMER ) );

       timer->Type = IO_TYPE_TIMER;

       timer->DeviceObject = DeviceObject;

       DeviceObject->Timer = timer;

   ExInterlockedInsertTailList( &IopTimerQueueHead,

                                &timer->TimerList,

                                &IopTimerLock );

 

系统使用IopTimerDispatch 这个dpc routine 集中处理这个链表,1秒一次什么的

 

3. ExpTimeRefreshDpcRoutine

 

插入routine 为ExpTimeRefreshWork的工作线程

 

只有nt4里面有这部分代码 systime.c,看http://www.debugman.com/thread/2752/1/1和ida吧

 

刷新系统时间用的


剩下的神马IopIrpStackProfilerTime CcScanDpc PopScanIdleList之类的不管了~~


ps:xuetr 0.32是显示应用层定时器的进程的,0.45怎么不显示了= =



Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4665
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
对象管理---3
For Geek
05-26 466
对象的创建 依旧是针对定时器定时器对象的创建是通过NtCreateTimer来的。 构成这个系统调用的三个步骤是 通过ObCreateObject创建目标对象 对具体对象做相应的本身的初始化 通过ObInsertObject将目标对象插入对象目录和句柄表,并返回句柄。 凡是创建对象的系统调用,都要提供至少两个输入参数。其中之一就是DesiredAccess,这个参数的含义是创建对象的访问模式...
x64驱动遍历 DPC 定时器
LYSM
05-22 717
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑勿喷) 对于 KiProcessorBlock 这个 API , Windows 没有导出: 但是可以通过另一种办法获取到这个地址: // 获取特殊寄存器中的值,拿 _KPRCB ULONG64 PrcbAddress = (ULONG64)__readmsr(0xC0000101)
使用驱动来枚举DPC
Misaka10046的博客
04-18 110
WIN7 X86。
x64 驱动 创建 dpc 定时器
墨鱼菜鸡
07-06 119
初始化 KTIMER my_timer; KDPC KiTimerExpireDpc; KTIMER: typedef struct _KTIMER { DISPATCHER_HEADER Header; ...
xp下枚举KTIMER计时器(包含DPC计时器)
qinqin772的博客
01-04 1096
[此次枚举发生在  32BIT XP sp3 下,别的版本暂时没有试验过] 【前提】 DPC定时器  中描述,KeSetTimerEx中,引用到了 KiInsertTreeTimer ,这个符号是个 FASTCAL L型的函数调用,但是 其并没有使用EDX。 第一个参数 通过 ECX 将 KTIMER的指针传入, 第二个,第三个参数 靠压栈实现,这两个参数就是 LARGE_INT
DpcWait:驱动程序,演示如何注册DPC以异步等待对象
05-28
DpcWait 此存储库包含一个驱动程序,该驱动程序使用21H1中提供的新内核模式异步等待功能来等待cmd.exe进程并在发出信号时执行DPC。 它还包含一些支持此功能的内核功能的实现写上去
DPC.rar_DPC_DPC matlab _MATLAB DPC_dpc算法
07-15
我不太会用matlab,这就是一个用过来实现DPC的算法
dpc.rar_DPC
09-23
handle dpc rx functions.
dpc.rar_DPC_V2
09-24
handle dpc rx functions for Linux v2.13.6.
驱动开发:内核枚举DpcTimer定时器
CSDN
10-16 7916
在笔者上一篇文章`《驱动开发:内核枚举IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开
u010383647的专栏
09-03 1868
标 题: 枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开 作 者: Y4ng 时 间: 2012-09-06 19:50:32 星期四 链 接: http://www.cnblogs.com/Y4ng/archive/2012/09/06/EnumProcessHandle_EnumMutex.html    相信做过游戏多开的朋友就会发现,很多
逆--Win7x64 UserTimer结构获取,NtUserSetTimer,_SetTimer,InternalSetTimer 枚举进程定时器
zhuhuibeishadiao
05-21 3556
用户层调用SetTimer-->内核NtUserSetTimer处理 NtUserSetTimer -->_SetTimer --> InternalSetTimer-->FindTimer / HMAllocObject 去看看NtUserSetTimer 函数原型 UINT_PTR APIENTRY NtUserSetTimer ( HWND hWnd, UINT_PT
内核 定时器IO枚举
墨鱼菜鸡
04-19 124
dpc枚举 https://bbs.pediy.com/thread-204155.htm io定时器 https://blog.csdn.net/qq_26153041/article/details/53978820 https://www.dyxmq.cn/cloud/forgot-and-reset-password-for-typecho.html mysql 数据导出https://...
枚举内常用方法+定时器的常用书写(复制用)
幻世
12-08 207
一、枚举内的常用方法 package com.control.platform.api.enums; import com.hilife.internal.common.enums.CommonIntEnum; import lombok.AllArgsConstructor; import lombok.Getter; import java.util.Arrays; import java.util.List; /** * @author wyf * @createDate 2021/11
移除时钟KTIMER和DPC
ming_taizi的博客
04-24 1173
win7 32位和64位下 通过枚举系统所有KTIMER时钟,寻找自己想要移除的时钟,达到移除目标驱动的KTIMER和DPC的目的。
内核dpc定时器
sanfenlu的专栏
04-12 750
另外,应用程序每次取声音的数据量是根据系统的声音设置而定的,系统声音设置“录制”属性中设置44100每次取1764,设置48000每次取1920。默认值是第一次安装驱动中的接口而定的。应用程序每次只请求1764个字节,每一个中断对应有1920个字节,这样每一个中断就会在驱动中累积156个字节而导致数据在驱动中溢出。总数据量:48000*2*2=192000,应用程序每次请求1920个字节,驱动中的CELL刚好也是1920,这样就每一个中断往应用层写入一次,每秒刚好有100个中断(192000/1920)。
驱动开发:内核枚举PspCidTable句柄表
CSDN
10-16 6616
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
随笔记,找到r3定时器的pid tid....
Returns' Station
06-06 976
一些定时器的dpc函数在内核内部,切入点是NtCreateTimer,调试过程如下   dt _ktimer 8129e718 nt!_KTIMER    +0x000 Header           : _DISPATCHER_HEADER    +0x010 DueTime          : _ULARGE_INTEGER 0x80000000`fd1b046a
DPC_WATCHDOG_VIOLATION
最新发布
11-18
DPC_WATCHDOG_VIOLATION是Windows操作系统的一个蓝屏错误,通常是由于在DPC(延迟过程调用)或ISR(中断服务例程)中执行的代码太长而导致的。DPC和ISR是Windows操作系统中的两个重要概念,它们用于处理硬件中断和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值