apc

最新推荐文章于 2024-01-04 11:13:31 发布
最新推荐文章于 2024-01-04 11:13:31 发布
阅读量1.2k 收藏
点赞数
分类专栏: 笔记 文章标签: null thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunny_wwc/article/details/6251204
版权

NTKERNELAPI
VOID
KeInitializeApc (
    IN PRKAPC Apc,
    IN PKTHREAD Thread,
    IN KAPC_ENVIRONMENT Environment,
    IN PKKERNEL_ROUTINE KernelRoutine,
    IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,
    IN PKNORMAL_ROUTINE NormalRoutine OPTIONAL,
    IN KPROCESSOR_MODE ApcMode,
    IN PVOID NormalContext
    );

简单的说下这个函数的使用(参考KiDeliverApc<Apc执行函数>)

 

如果插内核apc

要把apcmode设置成kernelmode

然后设置kernelroutine和normalroutine这2个参数是关键

1.在这种情况下如果normalroutine设置成null,而kernelroutine设置成非null

那么这种情况是一个特殊的内核apc

2.在这种情况下如果normalroutine和kernelroutine都为非null

那么这种情况下先执行kernelroutine,之后再检查normalroutine是否为null,不为null的话,在执行normalroutine

不可能出现其他情况

 

如果是用户apc

要把apcmode设置成usermode

在这种情况下kernelroutine和normalroutine都不能为null

那么这种情况下先执行kernelroutine,之后再检查normalroutine是否为null,不为null的话,在把normalroutine当成参数执行KiInitializeUserApc函数

 

 

根据KiDeliverApc函数的流程 系统在执行用户Apc之前 都会检查一遍内核Apc的队列 如果存在Apc 就将其执行 然后才检查用户Apc队列还有UserApcPending这个标志 满足才执行用户Apc

 

Sunny_wwc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.APC的挂入过程
My classmates
10-23 643
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd&amp;amp;amp;gt; dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
APC初始化 —— 逆向分析 KeInitializeApc
walker的博客
03-19 773
简介 操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。 而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。 以 PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下: 逆向分析KeInitializeApc ...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2734
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1215
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
APC机制详解
鬼手的博客
02-15 6359
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 1043
APC机制分析
APC资源-R语言.rar
06-14
在IT行业中,APC(Aggregate Population Control)通常与统计学中的生存分析和疾病建模相关。R语言作为一款强大的开源统计编程环境,被广泛应用于数据分析、机器学习以及各种复杂的统计计算,包括APC分析。本资源包...
APC
02-16
标题中的"APC"通常指的是Advanced Programming in the C language(高级C语言编程),这是一个与操作系统内核、设备驱动程序开发等底层编程相关的概念。在IT领域,APC可能还涉及美国电力转换公司(American Power ...
先进过程控制(APC)
05-08
"先进过程控制(APC)" 先进过程控制(APC)是指对那些不同于常规单回路控制,并具有比常规 PID 控制更好的控制效果的控制策略的统称。APC 的应用可以带来显著的经济效益,在石化工业中,一个先进控制项目的年经济...
windows内核情景分析 --APC
maomao171314的专栏
04-04 2087
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
APC(三)
Misaka10046的博客
11-30 268
内核APC插入 VOID KeInitializeApc ( __out PRKAPC Apc, //输出APC __in PRKTHREAD Thread, //要插入的线程 __in KAPC_ENVIRONMENT Environment, //APC的线程环境 __in PKKERNEL_ROUTINE KernelRoutine, //内核函数 __in_opt PKRUNDOWN_ROUTINE RundownRoutine, //特殊函数
漫谈兼容内核之十二:Windows的APC机制
周寅的专栏
03-13 3067
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5509
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
APC注入DLL(win7下有问题)
weixin_33725272的博客
03-18 179
voidAPCKernelRoutine(PKAPCpKAPC, PKNORMAL_ROUTINEpUserAPC, PVOIDpContext, PVOIDpSysArg1, PVOIDpSysArg2) ...
深入学习APC
求索
05-12 2406
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
Windows APC学习笔记(二)—— 挂入过程&执行过程
qq_41988448的博客
02-29 1275
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值