APC的内部实现

最新推荐文章于 2024-01-04 11:13:31 发布
最新推荐文章于 2024-01-04 11:13:31 发布
阅读量1.4k 收藏
点赞数
分类专栏: 内核研究 文章标签: thread null struct database list object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7580321
版权

一个经典的投放apc结束线程是这样的


   KeInitializeApc(exitAPC,ethread,OriginalApcEnvironment,KernelKillThreadRoutine,0,0,KernelMode,0);
   KeInsertQueueApc(exitAPC,exitAPC,NULL,2);

1.APC结构 

typedef struct _KAPC {
    UCHAR Type;
    UCHAR SpareByte0;
    UCHAR Size;
    UCHAR SpareByte1;
    ULONG SpareLong0;
    struct _KTHREAD *Thread;
    LIST_ENTRY ApcListEntry;   //   插入线程APC链表
    PKKERNEL_ROUTINE KernelRoutine;   内核模式中执行
    PKRUNDOWN_ROUTINE RundownRoutine; //线程终止时还有APC没执行会调用这个函数?
PKNORMAL_ROUTINE NormalRoutine;  // 这个为0 表示是一个特殊内核APC,否则是一个普通的(又分为内核态的和用户态的)。特殊的位于链表前部,普通的位于后部。 普通的APC,normal和kernel例程都将被调用
         
    PVOID NormalContext;

    PVOID SystemArgument1;
    PVOID SystemArgument2;
    CCHAR ApcStateIndex;     //  APC环境状态
    KPROCESSOR_MODE ApcMode;     //内核态or用户态
    BOOLEAN Inserted;
} KAPC, *PKAPC, *PRKAPC;

2.关于APC的环境

这个枚举指的是指示线程attach之后 再回来的情形

typedef enum _KAPC_ENVIRONMENT {
    OriginalApcEnvironment,   //原始的进程环境
    AttachedApcEnvironment, //挂靠后的进程环境
    CurrentApcEnvironment,  // 当前环境
    InsertApcEnvironment //  被插入时的环境
} KAPC_ENVIRONMENT;
typedef struct _KAPC_STATE {
    LIST_ENTRY ApcListHead[MaximumMode];//线程的apc链表 只有两个 内核态和用户态
    struct _KPROCESS *Process;    // 线程 挂靠的进程   
    BOOLEAN KernelApcInProgress;   // 线程正在处理APC对象
    BOOLEAN KernelApcPending;   // 线程有内核apc等待交付
    BOOLEAN UserApcPending; //    有用户态的等待
} KAPC_STATE, *PKAPC_STATE, *PRKAPC_STATE;
KTHREAD 中的KAPC_STATE 中有两个 ApcState ,
ApcState和SaveApcState,

ApcStatePointer是个数组,ApcStateIndex是下标 

KiAttachProcess中//额 忘说了 已经attach的进程再次attach会BSOD...

    KiMoveApcState(&Thread->ApcState, SavedApcState); //当前的APC状态移到Save里,然后初始化apc状态
    InitializeListHead(&Thread->ApcState.ApcListHead[KernelMode]); //ApcState被初始化
    InitializeListHead(&Thread->ApcState.ApcListHead[UserMode]);
    Thread->ApcState.KernelApcInProgress = FALSE;
    Thread->ApcState.KernelApcPending = FALSE;
    Thread->ApcState.UserApcPending = FALSE;
    if (SavedApcState == &Thread->SavedApcState) {
        Thread->ApcStatePointer[0] = &Thread->SavedApcState;          //第一个指向保存的apc状态 原始apc环境
        Thread->ApcStatePointer[1] = &Thread->ApcState;                //第二个是当前的 挂靠apc环境
        Thread->ApcStateIndex = 1;                                     //表示现在的状态指向 指向挂靠状态
    }



Dettach时,先派发APC state里面的APC,然后再恢复    //也就是在挂靠过程中线程被插apc 现在要集中解决

       while (Thread->ApcState.KernelApcPending &&
               (Thread->SpecialApcDisable == 0) &&
               (LockHandle.OldIrql < APC_LEVEL)) {        

            //
            // Unlock the thread APC lock and lower IRQL to its previous
            // value. An APC interrupt will immediately occur which will
            // result in the delivery of the kernel APC if possible.
            //释放这个锁将导致 请求APC级别的中断,这样apc将得到释放

            KeReleaseInStackQueuedSpinLock(&LockHandle);
            KeAcquireInStackQueuedSpinLockRaiseToSynch(&Thread->ApcQueueLock,
                                                       &LockHandle);
        }

省略无关代码,到这里进行恢复
        KiMoveApcState(&Thread->SavedApcState, &Thread->ApcState); //恢复了
        Thread->SavedApcState.Process = (PKPROCESS)NULL;
        Thread->ApcStatePointer[0] = &Thread->ApcState;
        Thread->ApcStatePointer[1] = &Thread->SavedApcState;
        Thread->ApcStateIndex = 0;

ApcStatePointer这样设计是巧妙的

在KiInsertQueueApc中直接用下标来找当前的环境值,(那是否ApcStateIndex = 0是代表线程在自己的环境中,1在别人的环境中??)

ApcState = Thread->ApcStatePointer[Apc->ApcStateIndex];

所以如果对一个插入别人的线程插入APC,具体插入那个环境,是由APC的环境变量决定的。

0是原本的环境,1是挂靠环境。 如果目标线程挂靠了,线程原本环境是SavedApcState,挂靠环境是ApcState;没有挂靠 原本环境是ApcState,挂靠环境还是ApcState
3.APC的实现过程 

VOID
KeInitializeApc

    if (Environment == CurrentApcEnvironment) { //当前环境,那Index就是线程的
        Apc->ApcStateIndex = Thread->ApcStateIndex;

    } else {

        ASSERT((Environment <= Thread->ApcStateIndex) || (Environment == InsertApcEnvironment));

        Apc->ApcStateIndex = (CCHAR)Environment;
}
KeInsertQueueApc

    Thread = Apc->Thread;
    KeAcquireInStackQueuedSpinLockRaiseToSynch(&Thread->ApcQueueLock, &LockHandle);
//升到synch_level获取apc锁

    if ((Thread->ApcQueueable == FALSE) || //线程退出时不接受APC
        (Apc->Inserted == TRUE)) {
        Inserted = FALSE;

    } else {
        Apc->Inserted = TRUE;
        Apc->SystemArgument1 = SystemArgument1;
        Apc->SystemArgument2 = SystemArgument2;
        KiInsertQueueApc(Apc, Increment);
        Inserted = TRUE;
    }

    //
    // Unlock the thread APC queue lock, exit the scheduler, and return
    // whether the APC was inserted.
    //

    KeReleaseInStackQueuedSpinLockFromDpcLevel(&LockHandle);
    KiExitDispatcher(LockHandle.OldIrql);

KiInsertQueueApc
{
………….
   Thread = Apc->Thread;
    if (Apc->ApcStateIndex == InsertApcEnvironment) { //被插入线程的环境,这里面赋值
        Apc->ApcStateIndex = Thread->ApcStateIndex;
    }

    ApcState = Thread->ApcStatePointer[Apc->ApcStateIndex];

    ApcMode = Apc->ApcMode;

    ASSERT (Apc->Inserted == TRUE);

    if (Apc->NormalRoutine != NULL) {
        if ((ApcMode != KernelMode) && (Apc->KernelRoutine == PsExitSpecialApc)) {//用户模式
            Thread->ApcState.UserApcPending = TRUE;
            InsertHeadList(&ApcState->ApcListHead[ApcMode],
                           &Apc->ApcListEntry);

        } else {//普通内核模式 插入尾部
            InsertTailList(&ApcState->ApcListHead[ApcMode],
                           &Apc->ApcListEntry);
        }

    } else {//特殊内核模式 找到最后一个特殊APC 插入 始终保持特殊APC在普通的前面,又要保证插入是按照时间顺序的。
        ListEntry = ApcState->ApcListHead[ApcMode].Blink;
        while (ListEntry != &ApcState->ApcListHead[ApcMode]) {
            ApcEntry = CONTAINING_RECORD(ListEntry, KAPC, ApcListEntry);
            if (ApcEntry->NormalRoutine == NULL) {
                break;
            }

            ListEntry = ListEntry->Blink;
        }

        InsertHeadList(ListEntry, &Apc->ApcListEntry);
    }

    if (Apc->ApcStateIndex == Thread->ApcStateIndex) {
   //是线程有的状态环境 0 or 1 原始或者挂靠的环境,另外两种状态已经在之前解决掉了 现在只有这两种。并且当现在状态相同,可以尝试让apc立即执行起来

        //
        // If the target thread is the current thread, then the thread state
        // is running and cannot change.
        //

        if (Thread == KeGetCurrentThread()) {//插入的就是当前线程

            ASSERT(Thread->State == Running);

            //
            // If the APC mode is kernel, then set kernel APC pending and
            // request an APC interrupt if special APC's are not disabled.
            //

            if (ApcMode == KernelMode) {//内核态apc 直接请求apc中断
                Thread->ApcState.KernelApcPending = TRUE;
                if (Thread->SpecialApcDisable == 0) {
                    KiRequestSoftwareInterrupt(APC_LEVEL);
                }
            }

            return;
        }

        RequestInterrupt = FALSE;
        KiLockDispatcherDatabaseAtSynchLevel();
        if (ApcMode == KernelMode) {

            Thread->ApcState.KernelApcPending = TRUE;
            KeMemoryBarrier();
            ThreadState = Thread->State;
            if (ThreadState == Running) {//线程正在运行 请求中断
                RequestInterrupt = TRUE;

            } else if ((ThreadState == Waiting) && //线程处于等待状态,唤醒这个线程 在KiUnwaitThread调用 KiReadyThread 这里面会交付APC
                       (Thread->WaitIrql == 0) &&
                       (Thread->SpecialApcDisable == 0) &&
                       ((Apc->NormalRoutine == NULL) ||
                        ((Thread->KernelApcDisable == 0) &&
                         (Thread->ApcState.KernelApcInProgress == FALSE)))) {

                KiUnwaitThread(Thread, STATUS_KERNEL_APC, Increment);

            } else if (Thread->State == GateWait) { //门等待 从门等待中拆出来 直接插入备用链表
                KiAcquireThreadLock(Thread);
                if ((Thread->State == GateWait) &&
                    (Thread->WaitIrql == 0) &&
                    (Thread->SpecialApcDisable == 0) &&
                    ((Apc->NormalRoutine == NULL) ||
                     ((Thread->KernelApcDisable == 0) &&
                      (Thread->ApcState.KernelApcInProgress == FALSE)))) {

                    GateObject = Thread->GateObject;
                    KiAcquireKobjectLock(GateObject);
                    RemoveEntryList(&Thread->WaitBlock[0].WaitListEntry);
                    KiReleaseKobjectLock(GateObject);
                    if ((Queue = Thread->Queue) != NULL) {
                        Queue->CurrentCount += 1;
                    }

                    Thread->WaitStatus = STATUS_KERNEL_APC;
                    KiInsertDeferredReadyList(Thread);
                }

                KiReleaseThreadLock(Thread);
            }

        } else if ((Thread->State == Waiting) &&
                  (Thread->WaitMode == UserMode) &&
                  (Thread->Alertable || Thread->ApcState.UserApcPending)) {//用户模式 正在等待 并且可以唤醒 调用 KiUnwaitThread

            Thread->ApcState.UserApcPending = TRUE;
            KiUnwaitThread(Thread, STATUS_USER_APC, Increment);
        }
   //其他的情况只能等待其他机会执行APC了
        //
        // Unlock the dispatcher database and request an APC interrupt if
        // required.
        //
   //如果有请求中断 这里执行一个
        KiUnlockDispatcherDatabaseFromSynchLevel();
        if (RequestInterrupt == TRUE) {
            KiRequestApcInterrupt(Thread->NextProcessor);
        }
    }

    return;
}

4.APC的执行过程

APC_LEVEL的中断或者中断从更高级别降下来时,apc得到机会交付。KiDeliverApc分三种不同情况,做处理,逻辑比较简单 

VOID
KiDeliverApc (
    IN KPROCESSOR_MODE PreviousMode,
    IN PKEXCEPTION_FRAME ExceptionFrame,
    IN PKTRAP_FRAME TrapFrame
    )
{

    if (TrapFrame != NULL) {
        KiCheckForSListAddress(TrapFrame);
    }

    Thread = KeGetCurrentThread();//更换陷阱帧
    OldTrapFrame = Thread->TrapFrame;
    Thread->TrapFrame = TrapFrame;

    Process = Thread->ApcState.Process;
    Thread->ApcState.KernelApcPending = FALSE;
    if (Thread->SpecialApcDisable == 0) {

        KeMemoryBarrier();
        while (IsListEmpty(&Thread->ApcState.ApcListHead[KernelMode]) == FALSE) {
    //只处理当前线程当前状态环境下的dpc

            KeAcquireInStackQueuedSpinLock(&Thread->ApcQueueLock, &LockHandle);
            NextEntry = Thread->ApcState.ApcListHead[KernelMode].Flink;
            if (NextEntry == &Thread->ApcState.ApcListHead[KernelMode]) {//到这已经空了释放并退出
                KeReleaseInStackQueuedSpinLock(&LockHandle);
                break;
            }

            //
            // Clear kernel APC pending, get the address of the APC object,
            // and determine the type of APC.
            //
            // N.B. Kernel APC pending must be cleared each time the kernel
            //      APC queue is found to be non-empty.
            //

            Thread->ApcState.KernelApcPending = FALSE;
            Apc = CONTAINING_RECORD(NextEntry, KAPC, ApcListEntry);
            ReadForWriteAccess(Apc);
            KernelRoutine = Apc->KernelRoutine;
            NormalRoutine = Apc->NormalRoutine;
            NormalContext = Apc->NormalContext;
            SystemArgument1 = Apc->SystemArgument1;
            SystemArgument2 = Apc->SystemArgument2;
            if (NormalRoutine == (PKNORMAL_ROUTINE)NULL) {//特殊的内核历程
   
     //调用apc
                RemoveEntryList(NextEntry);
                Apc->Inserted = FALSE;
                KeReleaseInStackQueuedSpinLock(&LockHandle);
                (KernelRoutine)(Apc,
                                &NormalRoutine,
                                &NormalContext,
                                &SystemArgument1,
                                &SystemArgument2);
  

            } else {//普通的内核apc
   
   
                if ((Thread->ApcState.KernelApcInProgress == FALSE) &&
                   (Thread->KernelApcDisable == 0)) {

                    RemoveEntryList(NextEntry);
                    Apc->Inserted = FALSE;
                    KeReleaseInStackQueuedSpinLock(&LockHandle);
                    (KernelRoutine)(Apc,     //普通的apc 比如nt!KiSuspendThread
                                    &NormalRoutine,   //NormalRoutine可能会在这里被改成0,如果没改成0继续执行
                                    &NormalContext,
                                    &SystemArgument1,
                                    &SystemArgument2);

     //还要调用Normal
                    if (NormalRoutine != (PKNORMAL_ROUTINE)NULL) {   //比如这可能是是nt!KiSuspendNop 啥也不干直接返回
                        Thread->ApcState.KernelApcInProgress = TRUE; //在这个apc执行的时候 其他的普通apc不会被交付
                        KeLowerIrql(0);          //这里normal和kernel的irql也不一样,normal在passive运行
                        (NormalRoutine)(NormalContext,   
                                        SystemArgument1,
                                        SystemArgument2);
   
                        KeRaiseIrql(APC_LEVEL, &LockHandle.OldIrql);
                    }
   
                    Thread->ApcState.KernelApcInProgress = FALSE;
   
                } else {
                    KeReleaseInStackQueuedSpinLock(&LockHandle);
                    goto CheckProcess;
                }
            }
        }

   
        if ((PreviousMode == UserMode) &&
            (IsListEmpty(&Thread->ApcState.ApcListHead[UserMode]) == FALSE) &&
            (Thread->ApcState.UserApcPending != FALSE)) {

            KeAcquireInStackQueuedSpinLock(&Thread->ApcQueueLock, &LockHandle);

            Thread->ApcState.UserApcPending = FALSE;
            NextEntry = Thread->ApcState.ApcListHead[UserMode].Flink;
            if (NextEntry == &Thread->ApcState.ApcListHead[UserMode]) {
                KeReleaseInStackQueuedSpinLock(&LockHandle);
                goto CheckProcess;
            }

            Apc = CONTAINING_RECORD(NextEntry, KAPC, ApcListEntry);
            ReadForWriteAccess(Apc);
            KernelRoutine = Apc->KernelRoutine;
            NormalRoutine = Apc->NormalRoutine;
            NormalContext = Apc->NormalContext;
            SystemArgument1 = Apc->SystemArgument1;
            SystemArgument2 = Apc->SystemArgument2;
            RemoveEntryList(NextEntry);
            Apc->Inserted = FALSE;
            KeReleaseInStackQueuedSpinLock(&LockHandle);
            (KernelRoutine)(Apc,      //用户态时这里很常见的是nt!IopDeallocateApc
                            &NormalRoutine,  
                            &NormalContext,
                            &SystemArgument1,
                            &SystemArgument2);
   
            if (NormalRoutine == (PKNORMAL_ROUTINE)NULL) {
                KeTestAlertThread(UserMode);
   
            } else {//初始化一个用户态APC,这个函数把一个KAPC_RECORD放入栈中,TrapFrame->Eip = (ULONG)KeUserApcDispatcher; 这是一个ntdll中的函数,
      //陷阱帧的东西还不太明白,不能说太细。。以后补充~~
                KiInitializeUserApc(ExceptionFrame,
                                    TrapFrame,
                                    NormalRoutine,
                                    NormalContext,
                                    SystemArgument1,
                                    SystemArgument2);
            }
        }
    }

5.APC的调用时机

★.内核代码离开临界区或守护区,调用KiCheckForKernelApcDelivery或者请求APC级别中断

★.KiSwapThread返回以前调用一次KiDeliverApc

★.从系统服务或者异常返回时 调用KiDeliverApc 设置用户态apc的交付

★.APC_LEVEL的中断和irql降到passive时KiDeliverApc都会被调用




Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核中的同步机制(三)
Returns' Station
05-23 1324
★.可等待对象一览 1. Kevent 就是一个等待头 没啥说的 以上的例子也是举得这个KMUTANT 对应的是r3的mutex typedef struct _KMUTANT { DISPATCHER_HEADER Header; LIST_ENTRY MutantListEntry; KTHREAD.MutantListHead struct _KTHREA
PHP缓存之APC-简介、存储结构和操作
weixin_34345560的博客
06-09 177
APC简介 APC,全称是Alternative PHP Cache,官方翻译叫”可选PHP缓存”。它为我们提供了缓存和优化PHP的中间代码的框架。 APC的缓存分两部分:系统缓存和用户数据缓存。 系统缓存 它是指APC把PHP文件源码的编译结果缓存起来,然后在每次调用时先对比时间标记。如果未过期,则使用缓存的中间代码运行。默认缓存 3600s(一小时)。但是这样仍会浪费大量CPU时间。因...
APC应用
weixin_34189116的博客
06-29 282
先说两个典型的应用 1. IoCompleteRequest内部实现实现在任意上下文的时候,插入kernel APC,把IO操作结果返给相应的线程。 2. Set/Get 上下文的内部实现。 User mode APC:在系统进入Alert状态才会Deliver ,可以参考KeWaitXXXX系列函数,KeTestAlertThread可以返回是否Altert状态。 Kernel ...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5518
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
apC.rar_Apriori算法_apriori算法 实现
09-19
通过分析这个源代码,我们可以深入理解算法的内部工作原理,包括如何处理数据结构(如项集和交易)、如何高效地生成和验证候选项集以及如何计算支持度和置信度。 源代码可能包括以下几个关键部分: - 数据结构设计...
APC220使用手册
09-17
它主要用于实现短距离内的无线通信功能,广泛应用于各类需要进行简单无线数据交换的场景中。 #### 二、APC220模块技术参数 APC220模块的技术参数主要包括以下几方面: 1. **工作频率**:通常工作在433MHz频段。 2...
windows版php apc cached扩展dll
04-16
- **TECHNOTES.txt**:技术注释文件,可能包含一些高级用法或内部实现细节。 总的来说,APC是提升PHP应用性能的重要工具,尤其是在处理高并发和大数据量的场景下。正确安装和配置APC扩展,能显著优化服务器性能,...
APC200A无线模块资料
10-16
APC200A无线模块内部集成了射频(RF)前端、微控制器(MCU)和Wi-Fi协议栈,用户可以通过串行接口如UART、SPI或I2C与其进行通信。通过这些接口,用户可以发送命令控制模块的配置和数据传输,模块则负责处理无线网络的...
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 1091
APC机制分析
过hs等保护
10-16
可完美下断,驱动开发方面值得学习的不错的资料
4.内核APC执行过程
My classmates
10-24 1783
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用&amp;quot; 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
NT 下动态切换进程分析笔记
05-11 1854
Author: sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.orgDate:   2005-11-162005-2-22  在应用层想要动态嵌入其他进程内存空间,我们可以调用 CreateRemoteThread() 等相关函数来实现。那么在内核态想要动态嵌入其他进程内存空间又如何做呢?这时我们需要调用一
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1255
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
windows内核情景分析 --- DPC
maomao171314的专栏
04-04 3789
DPC不同APC,DPC的全名是‘延迟过程调用’。 DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不能消耗过多时间,否则会导致系统丢失大量其他中断。但是有的中断,其中断服务例程要做的事情本来就很多,那怎么办?于是,可以在中断服务例程中先执行最紧迫的那部分工作,然后把剩余的相对来说不那么重要的工作移入到D
浅谈 Signal 与 APC 实现
FadeTrack
07-11 1466
引言之前在学习 linux signal 机制实现的时候,发现和 windows 的APC机制有些不谋而合的味道,遂贴出了二者在使用上相同的片段。今天专程花时间对APC实现进行了分析,好好扒一扒二者在实现上异同之处。 本文的错误或不足之处望大家指正。本文环境抛开环境对比分析实现是不可能,要限定一个范围。 本文的 signal 机制参考为 linux 1.0.9 本文的 APC 机制参考为 WR
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1721
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
APC(三)
Misaka10046的博客
11-30 276
内核APC插入 VOID KeInitializeApc ( __out PRKAPC Apc, //输出APC __in PRKTHREAD Thread, //要插入的线程 __in KAPC_ENVIRONMENT Environment, //APC线程环境 __in PKKERNEL_ROUTINE KernelRoutine, //内核函数 __in_opt PKRUNDOWN_ROUTINE RundownRoutine, //特殊函数
内核中的同步机制(二)
Returns' Station
05-23 1300
★.线程等待对象 一些对象时刻等待的 进程 线程 定时器 各种同步对象等等 可被等待的对象,开头都是一个分发器头,这是WRK中的定义,WDK中的定义要更复杂点 typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; 对象类型 union
无痕注入dll怎么实现
07-14
实现无痕注入DLL是一项高级技术,需要深入了解Windows操作系统的内部机制和注入技术。以下是一种基本的实现方法: 1. 选择适当的注入技术:目前常用的无痕注入技术包括APC注入、远线程注入、DLL劫持等。根据具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值