Windows内核编程基础篇之系统线程

最新推荐文章于 2023-01-31 21:01:48 发布
最新推荐文章于 2023-01-31 21:01:48 发布
阅读量756 收藏
点赞数
分类专栏: windows驱动开发 文章标签: Windows内核编程基础篇 系统线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HK_5788/article/details/48208553
版权

    在驱动中停止等待很容易是哼歌系统陷入"停顿",最后只能重启电脑,但是一个单独的线程长期等待,还不至于对系统造成致命的影响。有些任务是希望长期不断的执行,比如 不断的写入日志,为此,启动一个特殊的线程来执行他们是最好的办法,

     驱动中生成的线程一般是系统线程。系统线程所在的进程名:“System”,用到的内核API 函数原型如下:

NTSTATUS PsCreateSystemThread(
  _Out_     PHANDLE            ThreadHandle,
  _In_      ULONG              DesiredAccess,
  _In_opt_  POBJECT_ATTRIBUTES ObjectAttributes,
  _In_opt_  HANDLE             ProcessHandle,
  _Out_opt_ PCLIENT_ID         ClientId,
  _In_      PKSTART_ROUTINE    StartRoutine,
  _In_opt_  PVOID              StartContext
);
       这个函数参数也是够多的, 但是参数传入很简单ThreadHandle 用来返回句柄,放入一个句柄指针即可; DesiredAddress 总是填写 0, 后面的3个参数都填写 NULL;最后的2个参数有一个用于该线程启动的时候去执行的函数,剩下的一个是用于传入该函数的参数。

      这个就是启动函数的原型:

VOID CustomThreadProc(IN PVOID context);

    简单的不能再简单了。就一个参数, context 就是从 PsCreateSystemThread中的 StartContext。线程的结束应该在县城中自己调用 PsTerminateSystemThread 来完成,此外,得到的句柄也必须要用 ZwClose 关闭。

PandaMohist
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6701
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
Windows核心编程线
w1012747007的专栏
08-15 302
线程组成两部分: 1. 一个线程的内核对象,操作系统用它管理线程。 2. 一个线程栈,用于维护线程执行时所需的所有函数参数和局部变量。 何时创建线程?举例: 操作系统Windows Indexing Services,磁盘碎片整理程序等,都是使用多线程进行性能优化的例子。
Windows内核--任务、进程和线程(2.4)
最新发布
编程语言技巧经验分享
01-31 885
Windows内核有"任务"概念吗? 从技术术语来说,Windows内核并没有"任务"。"任务"一般被认为是抽象的需要执行的事情。在不同操作系统上,"任务"所代表的官方名称有所差异。
Windows线
wkk的博客
11-15 841
系统是以线程为单位调度程序,一个程序中可以有多个线程,实现多任务的处理。原子锁的实现,直接对数据所在的内存操作,并且任何一个瞬间只能有一个线程访问。当任何线程都不拥有互斥,互斥有信号,任何一个线程拥有互斥,互斥就没有信号。操作系统将CPU的执行时间划分为时间片,依次根据时间片执行不同的线程。当多个线程对同一个数据进行原子操作,会产生结果丢失,比如算术运算。线程轮询: 线程A -> 线程B ->线程A …Windows线程是可以执行的代码的实例。触发事件( 将事件设置为有信号状态)事件的有信号无信号可控制。
驱动层进程和线程操作
qq_41490873的博客
08-25 1840
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
驱动开发:内核强制结束进程运行
热门推荐
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
从汇编语言到Windows内核编程_Windows编程_
10-02
《从汇编语言到Windows内核编程》是深入探讨Windows操作系统内部机制的权威之作,尤其适合对计算机系统底层有浓厚兴趣或需要进行系统级开发的读者。这本书将带领读者从最基本的汇编语言出发,逐步过渡到复杂的...
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
总之,《寒江独钓--Windows内核安全编程光盘源码》提供了丰富的实践案例,是你深入理解Windows内核编程、提升安全编程能力的宝贵资料。通过仔细研究和实践其中的代码,你可以逐步提升自己的技术水平,为构建更安全、...
Windows核心编程系列》 — 线基础
01-09
一、线程  与前面介绍的进程一样,线程也有两部分组成: ...进程需要很多的系统资源,而线程仅仅需要一个线内核对象和线程栈可以了,因此线程比进程的开销要小得多。采用多线程来处理问题也是理所当然的了
Windows内核安全编程从入门到实践[代码]
01-02
Windows内核编程中,首先要理解的是进程和线程的概念。进程是资源分配的基本单位,而线程则是执行的基本单元。在内核编程中,需要熟练掌握创建、管理和调度进程与线程的方法,同时考虑到多线程环境下的同步和互斥...
windows系统多核CPU内核线程管理
01-07
这是一个很好的windows多核CPU管理的一个文档
Windows系统编程奥秘.zip
06-19
Windows系统编程是开发者通过直接与操作系统内核交互,实现特定功能的技术。它涵盖了诸如进程、线程管理,内存分配,文件操作,设备驱动接口,以及窗口和图形用户界面(GUI)创建等多个方面。对于任何想要构建底层...
驱动-线
chengtoreal的博客
03-12 384
线程结构体ETHREAD ETHREAD 第一个是 0x22c Cid 进程ID与线程ID 0x268 ThreadListEntry 当前进程中所有线程的双向链表 nt!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime : _LARGE_INTEGER +0x208 KeyedWaitChain : _LIS
驱动监视进程线
it技术学习
03-27 1099
有时候我们希望能够动态监视系统中任意进程/线程的创建与销毁。为了达 到此目的我翻阅了 DDK 手册,发现其提供的 PsSetCreateProcessNotifyRoutine(), PsSetCreateThreadNotifyRoutine(),等函数可以实现此功能。这两个函数可以 通过向系统注册一个 CALLBALCK 函数来监视进程/线程等操作。函数原形如下: NTSTATUS
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4496
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4175
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
内核驱动程序的同步处理、线程保护
苞米地里捉小鸡的博客
06-15 369
在支持多线程的操作系统下,有些函数会出现不可重入的现象。所谓“可重入”,是指函数的执行结果不和执行顺序有关。反之则称这个函数是“不可重入”的。 经常出行不可重入现象的情况是因为代码和全局变量有关,多个线程“同时”运行时,可能会导致汇编指令交错在一起。所以最终的全局变量的值是可能不一样的。 1.中断请求级 Windows将中断请求划分为软件中断和硬件中断,并将这些中断都映射成不同级别的中断请求级(IRQL).同步处理机制很大程度上依赖于中断请求级 驱动程序使用内核函数KeRaiseIrql将IRQL提
windows内核情景分析---线程同步
maomao171314的专栏
04-04 1308
基于同步对象的等待、唤醒机制: 一个线程可以等待一个对象或多个对象而进入等待状态(也叫睡眠状态),另一个线程可以触发那个等待对象,唤醒在那个对象上等待的所有线程。 一个线程可以等待一个对象或多个对象,而一个对象也可以同时被N个线程等待。这样,线程与等待对象之间是多对多的关系。他们之间的等待关系由一个队列和一个‘等待块’来控制,等待块就是线程与等待目标对象之间的纽带。 WaitFo
Windows系统线程池
twd_1991的专栏
05-04 464
认识Windows系统线程池可以参考这篇: https://baike.baidu.com/item/%E7%BA%BF%E7%A8%8B%E6%B1%A0/4745661 需要强调的是下面这句: 调用QueueUserWorkItem时传入的Object类型参数传递到任务过程,可以通过这种方式来向任务过程传递参数: 如果任务过程需要多个参数,可以定义包含这些数据的...
深度解析:Windows内核编程之旅
《天书夜读:从汇编语言到Windows内核编程》是一本深度解析Windows内核编程的实用指南,旨在帮助读者逐步掌握从基础的汇编指令到Windows内核编程的全过程。这本书特别适合C/C++ Windows开发者,无论是希望提升技术...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值