[note]KTHREAD结构相关

最新推荐文章于 2020-12-03 12:48:50 发布
最新推荐文章于 2020-12-03 12:48:50 发布
阅读量289 收藏
点赞数
文章标签: 大数据
原文链接:http://www.cnblogs.com/Tbit/archive/2010/05/12/1733915.html
版权

在用户模式下,段寄存器FS指向当前线程的TEB,所以FS:[0X18]就是指针Self,其内容就是TEB的起点.

在内核模式下,FS指向的是KPCR(Kernel's Processor Control Region)结构,而

mov reg,FS:[124h]   //reg可表示eax,edx,ebx,.....

这样就能获得当前线程的指针(KTHREAD结构体)

 

现在看看相关获取KTHREAD指针的相关内核函数

1.KeGetCurrentThread() , PsGetCurrentThread()

其实

#define PsGetCurrentThread  ((PETHREAD)KeGetCurrentThread())

使用windbg查看下

kd> u nt!PsGetCurrentThread
nt!PsGetCurrentThread:
80527ae8 64a124010000    mov     eax,dword ptr fs:[00000124h]

 

2.与PsGetCurrentThread()相对应,内核也提供了PsGetCurrentProcess()

使用该函数,可以获得KPROCESS指针.

其实

#define PsGetCurrentProcess  IoGetCurrentProcess

查看下ReactOS的函数实现:

PEPROCESS
PsGetCurrentProcess(VOID)
{
    /* Get the current process */
    return (PEPROCESS)KeGetCurrentThread()->ApcState.Process;
}
发现PsGetCurrentProcess()也是通过,KeGetCurrentThread()实现的.

查看下windbg:

kd> u nt!PsGetCurrentProcess
nt!PsGetCurrentProcess:
804ef2e8 64a124010000    mov     eax,dword ptr fs:[00000124h]
804ef2ee 8b4044          mov     eax,dword ptr [eax+44h]

KeGetCurrentThread()获得KTHREAD结构,

+0x034 是成员ApcState,将ApcState(对应的结构是 _KAPC_STATE)展开,+0x10 就是EPROCESS的指针了.

具体如下:

kd> dt -r _kthread
nt!_KTHREAD
   +0x000 Header           : _DISPATCHER_HEADER
      +0x000 Type             : UChar
      +0x001 Absolute         : UChar
      +0x002 Size             : UChar
      +0x003 Inserted         : UChar
      +0x004 SignalState      : Int4B
      +0x008 WaitListHead     : _LIST_ENTRY
         +0x000 Flink            : Ptr32 _LIST_ENTRY
         +0x004 Blink            : Ptr32 _LIST_ENTRY
   +0x010 MutantListHead   : _LIST_ENTRY
      +0x000 Flink            : Ptr32 _LIST_ENTRY
         +0x000 Flink            : Ptr32 _LIST_ENTRY
         +0x004 Blink            : Ptr32 _LIST_ENTRY
      +0x004 Blink            : Ptr32 _LIST_ENTRY
         +0x000 Flink            : Ptr32 _LIST_ENTRY
         +0x004 Blink            : Ptr32 _LIST_ENTRY
   +0x018 InitialStack     : Ptr32 Void
   +0x01c StackLimit       : Ptr32 Void
   +0x020 Teb              : Ptr32 Void
   +0x024 TlsArray         : Ptr32 Void
   +0x028 KernelStack      : Ptr32 Void
   +0x02c DebugActive      : UChar
   +0x02d State            : UChar
   +0x02e Alerted          : [2] UChar
   +0x030 Iopl             : UChar
   +0x031 NpxState         : UChar
   +0x032 Saturation       : Char
   +0x033 Priority         : Char
   +0x034 ApcState         : _KAPC_STATE
      +0x000 ApcListHead      : [2] _LIST_ENTRY
         +0x000 Flink            : Ptr32 _LIST_ENTRY
         +0x004 Blink            : Ptr32 _LIST_ENTRY
      +0x010 Process          : Ptr32 _KPROCESS

 

相关内容可以参考下RB大哥的<PsGetCurrentProcess为什么能定位活动进程链>

转载于:https://www.cnblogs.com/Tbit/archive/2010/05/12/1733915.html

a519609598
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 挂起 检测_检测当前进程是否被挂起
weixin_39881575的博客
12-24 972
KTHREAD结构:+0x16c SuspendApc : _KAPC+0x19c SuspendSemaphore : _KSEMAPHORE+0x1b0 ThreadListEntry : _LIST_ENTRY+0x1b8 FreezeCount : Char+0x1b9 SuspendCount : Char在调用SuspendThread时,Suspen...
windbg常用命令
lygl35的博客
12-23 1008
1、!process 0 0 (查看所有进程) 2、dt _EPROCESS 8710da00 (查看当前进程的结构体) 2、dt _HANDLE_TABLE 0x8d7fc818 (查看内核对象句柄表) 3、dd 0x98609000 (当前进程句柄表,一个句柄对象是8个字节)内核对象句柄/4=内核句柄地址在句柄表的索引 ...
KPCR
stonesharp的专栏
11-08 3862
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息.  通常fs
GetCurrentThread的伪句柄陷阱
baidu_25539425的博客
09-12 2092
今天写了个测试程序,想要看看线程的创建,退出内核模式时间,和用户模式时间#include <windows.h> #include <iostream> #include <process.h> using namespace std; unsigned int WINAPI WorkThread(void* param); typedef HANDLE (WINAPI * OPENTHRE
漫谈兼容内核之二十二:Windows线程的调度和运行
周寅的专栏
03-12 3415
  了解Windows线程的系统空间堆栈以后,还有必要对Windows线程的调度、切换、和运行也有所了解。当然,就兼容内核的开发而言,内核的线程调度/切换/运行机制只能有一套,而且必定是基本上沿用Linux的这套机制,而不可能在一个内核中有两套调度/运行机制。但是对于Windows这套机制的了解对于兼容内核的开发也很重要,并且还是必须的。举例来说,大家都知道在Windows系统中段寄存器FS在用户
windows内核情景分析---线程同步
maomao171314的专栏
04-04 1299
基于同步对象的等待、唤醒机制: 一个线程可以等待一个对象或多个对象而进入等待状态(也叫睡眠状态),另一个线程可以触发那个等待对象,唤醒在那个对象上等待的所有线程。 一个线程可以等待一个对象或多个对象,而一个对象也可以同时被N个线程等待。这样,线程与等待对象之间是多对多的关系。他们之间的等待关系由一个队列和一个‘等待块’来控制,等待块就是线程与等待目标对象之间的纽带。 WaitFo
KThread和TCB的构造顺序分析
08-18
"KThread和TCB的构造顺序分析" 在分析KThread和TCB的构造顺序时,我们需要了解它们之间的关系和构造过程。KThread是操作系统的核心组件之一,负责管理线程的生命周期,而TCB(Thread Control Block)是KThread的...
kthread usage
11-02
kthread usage 用kthread_create创建线程。
系统内核结构
02-08
大部分常用系统结果 已经还原成C语言格式的 typedef struct _EPROCESS_XP_SP3 // 107 elements, 0x260 bytes (sizeof) { /*0x000*/ struct _KPROCESS_XP_SP3 Pcb; // 29 elements, 0x6C bytes (sizeof) ...
Embedfire-imx6#embed_linux_tutorial_ppt#彻底掌握kthread_worker队列化机制1
07-25
彻底掌握kthread_worker队列化机制kthread_init_worker()宏初始化kthread_worker__kthread_init_wor
xpsp2的未公开核心数据结构的定义
06-29
1. **_KTHREAD**:这是表示系统中的线程的数据结构。`PKTHREAD`是其指针类型,它包含了线程的状态、调度信息、上下文切换记录等。虽然没有提供具体的定义,但在实际的NTDDK中,`KTHREAD`会包含如线程优先级、执行...
windbg命令
qq726232111的博客
12-03 271
.hh -> 帮助文档 .prefer_dml 1 -> 启用DML .hh .prefer_dml -> 获取.prefer_dml帮助文档 vertarget
内核中的同步机制(三)
Returns' Station
05-23 1317
★.可等待对象一览 1. Kevent 就是一个等待头 没啥说的 以上的例子也是举得这个KMUTANT 对应的是r3的mutex typedef struct _KMUTANT { DISPATCHER_HEADER Header; LIST_ENTRY MutantListEntry; KTHREAD.MutantListHead struct _KTHREA
GetCurrentThread+GetCurrentThreadId
carl2380的专栏
07-14 2557
<br /> HANDLE hTemp = GetCurrentThread();<br /> DWORD nID = GetCurrentThreadId();
ReactOS分析windows APC机制
dayenglish的专栏
09-01 1659
#define KeEnterGuardedRegion() \ { \ PKTHREAD _Thread = KeGetCurrentThread();
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7639
KTHREAD结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3304
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
linux内核 kthread相关的内核函数推荐
最新发布
04-26
一些和kthread相关的内核函数,我可以给您推荐一下: 1. kthread_create() - 创建一个内核线程(kthread)并运行它。 2. kthread_run() - 与kthread_create()类似,但在创建和启动线程之间没有间隔。 3. kthread_stop() - 停止指定kthread,并等待它完成执行。 4. kthread_should_stop() - 用于检查kthread是否应该终止。 5. kthread_park() - 让kthread进入睡眠模式,等待被唤醒。 6. kthread_unpark() - 唤醒指定的kthread。 以上是一些我可以推荐的kthread相关的内核函数,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值