内核APC&用户APC详解

于 2022-09-14 13:37:02 发布
阅读量851 收藏 5
点赞数 1
文章标签: 数据结构 c# 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/126850904
版权

内核APC

线程切换

SwapContext 判断是否有内核APC 
    
KiSwapThread

KiDeliverApc 执行内核APC函数

定位到SwapContext函数,然后查看KernelApcPending的值是否为空,不为空则跳转,这里只是进行判断,我们往上跟

然后回到KiSwapContext

再往上走得到KiSwapThread

这里判断后进行跳转

然后调用KiDeliverApc

系统调用、中断或者异常

当要执行用户APC之前,先要执行内核APC,这里找到KiServiceExit,有一个比较检验UserApcPending的值是否有APC请求

然后调用KiDeliverApc

内核层APC执行

KiDeliverApc

继续往里面跟,判断内核APC的链表是否为空,若不为空则跳转

最低0.47元/天 解锁文章
红队蓝军
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
4.内核APC执行过程
My classmates
10-24 1774
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
Linux内核配置详解.docx
最新发布
12-16
Linux内核配置详解 Linux内核配置详解是指在Linux系统中对内核进行配置的过程。该过程涉及到对内核的菜单配置、代码成熟度选项、通用设置选项等多个方面。 首先,在菜单配置中,我们可以选择对内核进行开发中或不...
windows内核内核APC执行过程(KiDeliverApc
windows小菜鸡的博客
12-01 380
windows内核情景分析 --APC
maomao171314的专栏
04-04 2078
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1711
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
漫谈兼容内核之十二:Windows的APC机制
周寅的专栏
03-13 3066
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机
ucosII内核详解.rar
05-14
《UCOSII内核详解》 UCOSII,全称为μC/OS-II,是一款流行的实时操作系统(RTOS),由Jean J. Labrosse开发,适用于嵌入式系统。它以其高效、小巧、可移植性强的特点,被广泛应用在各种微控制器和嵌入式设备中。...
详解Linux内核定义的常量
01-19
 操作系统是一个用来和硬件打交道并为用户程序提供一个有限服务集的低级支撑软件。一个计算机系统是一个硬件和软件的共生体,它们互相依赖,不可分割。计算机的硬件,含有外围设备、处理器、内存、硬盘和其他的电子...
Apc.rar_APC_windows APC
09-23
用户模式APC用户空间的代码插入,而内核模式APC则由内核驱动或系统服务插入。它们都可以在任意线程的上下文中执行,但权限和执行环境有所不同。 3. **APC的工作流程** - **注册APC**: 调用`QueueUserAPC`或`...
Linux用户空间与内核空间
03-02
Linux操作系统和驱动程序运行在内核空间,应用程序运行在用户空间,两者不能简单地使用指针传递数据,因为Linux使用的虚拟内存机制,用户空间的数据可能被换出,当内核空间使用用户空间指针时,对应的数据可能不在...
内核篇-----备用APC
qq_45806710的博客
02-08 1081
备用APC队列 Kd>dt _KTHREAD Nt!_KTHREAD +0x034 ApcState :_KAPC_STATE +0x138 ApcStatePointer:[2]Ptr32_KAPC_STATE +0x14c SavedApcState :_KAPC_STATE +0x165 ApcStateIndex :UChar +0x166 ApcQueueable :UChar .. 1.SavedApcState的意义: A进程中的T线程中的所有APC函数,要访问的内存地址都是A进程的
windows内核用户APC执行流程图(KiInitializeUserApc
windows小菜鸡的博客
12-02 414
关于NT内核apc机制
06-30 1537
Asynchronous Procedure Calls (APCs) are a fundamental building block in NTs asynchronous processing architecture. An understanding of this mechanism is essential to better understand how NT works
插入APC读写内存
liuhaidon1992的博客
01-08 748
#include "ntddk.h" #include "a_header.h" NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_...
APC驱动读写
CalvinXu
03-05 1144
//插APC温柔读内存 BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata) { PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro == ...
APC机制详解
鬼手的博客
02-15 6312
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2730
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 7932
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底层实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
APC异步过程调用
kernweak的博客
09-03 2419
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值