驱动开发之 创建线程函数PsCreateSystemThread

最新推荐文章于 2020-12-22 16:32:46 发布
最新推荐文章于 2020-12-22 16:32:46 发布
阅读量7.7k 收藏 4
点赞数 1
分类专栏: Driver 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyun123gx/article/details/30500703
版权

PsCreateSystemThread 创建一个执行在内核模式的系统线程。

注意:创建线程必须用函数PsTerminateSystemThread强制线程结束。否则该线程是无法自动退出的。

函数原型:

NTSTATUS PsCreateSystemThread(
  _Out_      PHANDLE ThreadHandle,
  _In_       ULONG DesiredAccess,
  _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,
  _In_opt_   HANDLE ProcessHandle,
  _Out_opt_  PCLIENT_ID ClientId,
  _In_       PKSTART_ROUTINE StartRoutine,
  _In_opt_   PVOID StartContext
);


参数说明

ThreadHandle [out]

         返回的handle。当此handle不再使用时,调用ZwClose关闭。对于windows vista以及以后版本,这个handle是一个内核句柄。

DesiredAccess [in]

         ACCESS_MASK值,创建的权限。一般取THREAD_ALL_ACCESS。

ObjectAttributes [in, optional]

         线程属性,一般设为null。

ProcessHandle [in, optional]

         线程所在地址空间的进程的handle。对于驱动线程,通常设为NULL。也可以设为NtCurrentProcess()指定为当前进程。

ClientId [out, optional]

         对于驱动线程设为null。

StartRoutine [in]

         函数指针,创建的系统线程的入口指针。此函数接受一个参数,就是StartContext。

StartContext [in, optional]

         线程执行时传给StartRoutine的参数。

返回值

PsCreateSystemThread成功返回 STATUS_SUCCESS。

例子1:

NTSTATUS lstatus;
lstatus = PsCreateSystemThread( &hThread, 
                0,
		NULL, //或者THREAD_ALL_ACCESS
		NtCurrentProcess(), 
		NULL, 
		(PKSTART_ROUTINE)ThreadProc,
		NULL );
if (!NT_SUCCESS(lstatus))
{
	;
}
NTSTATUS 
	ThreadProc()
{
	DbgPrint("CreateThread Successfully");  
	//创建线程必须用函数PsTerminateSystemThread强制线程结束。否则该线程是无法自动退出的。    
	PsTerminateSystemThread(STATUS_SUCCESS);  
}

2.提供一种方式来通知线程终止并等待终止发生。 

typedef struct _DEVICE_EXTENSION {
  ...
  KEVENT evKill;//在设备扩展中声明一个KEVENT对象
  PKTHREAD thread;
};

NTSTATUS StartThread(PDEVICE_EXTENSION pdx)
{
  NTSTATUS status;
  HANDLE hthread;
  KeInitializeEvent(&pdx->evKill, NotificationEvent, FALSE);						
  status = PsCreateSystemThread(&hthread,	//创建新线程							
				THREAD_ALL_ACCESS,
				NULL,
				NULL,
				NULL,
				(PKSTART_ROUTINE) ThreadProc,
				pdx);
  if (!NT_SUCCESS(status))
    return status;
  ObReferenceObjectByHandle(hthread,		//为了等待线程终止,你需要KTHREAD对象的地址来代替从PsCreateSystemThread获得的线程句柄。
			    THREAD_ALL_ACCESS,  //调用ObReferenceObjectByHandle获得这个地址。
			    NULL,
			    KernelMode,
			    (PVOID*) &pdx->thread,
			    NULL);
  ZwClose(hthread);			//现在可以关闭线程句柄了,因为已经得到thread						
  return STATUS_SUCCESS;
}

VOID StopThread(PDEVICE_EXTENSION pdx)
{
  KeSetEvent(&pdx->evKill, 0, FALSE);									
  KeWaitForSingleObject(pdx->thread, Executive, KernelMode, FALSE, NULL);				
  ObDereferenceObject(pdx->thread);									
}

VOID ThreadProc(PDEVICE_EXTENSION pdx)
{
  ...
  KeWaitForXxx(<at least pdx->evKill>);									
  ...
  PsTerminateSystemThread(STATUS_SUCCESS);								
}




细粉条
关注
专栏目录
Windows驱动开发线程与同步事件
enjoy5512的博客
07-07 2610
Windows驱动开发 1) 使用系统线程 2) 线程中睡眠 3) 使用同步事件
驱动开发(12)内核中的多线程和同步对象
zuishikonghuan的博客
05-03 3270
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:在内核模式下创建线程驱动程序中创建线程的方法是调用 PsCreateSystemThread 内核函数,此函数即可以创建系统线程,也可以创建用户线程。此函数的原型如下:NTSTATUS PsCreateSystemThread( _Out_ PHANDLE
驱动程序多线程 PsCreateSystemThread
hh012938的博客
02-26 285
转自:https://www.cnblogs.com/lsh123/p/7357468.html
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
05-15
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
PsCreateSystemThread
125096
08-01 1061
HANDLE hSystemThread,hMyThread; PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL); PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL)
PsCreateSystemThread函数说明
不歪的专栏
11-30 4076
// 创建线程 NTSTATUS PsCreateSystemThread( OUT PHANDLE ThreadHandle, //用于输出,这个参数得到新创建线程句柄 IN ULONG DesiredAccess, //是创建的权限 IN POBJECT_A
CreateThread,AfxBeginThread,PsCreateSystemThread
sanfenlu的专栏
07-07 3283
<br />先举一些使用的例子:<br />1):<br />  //在类中创建一个线程:<br />void CQboxMacDlg::OnOK() <br />{<br />   // --------------------------<br />    DWORD dwThreadId;<br />     m_hMyThread = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)MyThreadProc, this,0,&dwThreadId);<br
Windows下设备驱动程序的开发方法
06-26
通过调用PsCreateSystemThread函数驱动程序可以创建内核线程线程同步机制如事件、信号量等用于协调线程之间的操作。 九、初探IRP I/O请求包(IRP)是Windows驱动程序中的核心概念。IRP用于封装来自用户模式...
WDF驱动中的多线程编程与同步机制
# 第一章:WDF驱动概述 ## 1.1 WDF驱动简介 Windows Driver Framework(WDF)是一种用于...## 1.2 WDF驱动的多线程编程需求 随着计算机系统的发展,多核处理器已经成为主流,并发编程已成为开发人员必须应对的挑战。
实现程序在驱动层面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动层面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
3.driverbase-Wait函数创建线程(sytem和本进程)
hgy413的专栏
08-25 1627
1. Wait函数 用户模式下的WaitForSingleObject和WaitForMultipleObject都是依赖内核模式下的KeWaitForSingleObject和KeWaitForMultipleObjects函数实现的,其声明如下: NTSTATUS KeWaitForMultipleObjects( IN ULONG Count,// IN PVOID Ob
21.driverbase-多线程PsCreateSystemThread
hgy413的专栏
08-17 514
NTKERNELAPI NTSTATUS PsCreateSystemThread( __out PHANDLE ThreadHandle,// 得到新创建线程句柄 __in ULONG DesiredAccess,// 创建的权限 __in_opt POBJECT_ATTRIBUTES ObjectAttributes,// 线程属性,一般设为NULL __in_
PsCreateSystemThread()函数的还原
pureman_mega的博客
06-09 1088
主要是对传入的参数进行检查,再调用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT_ID,* PCLIENT_ID; typedef struct _unknown { UNONG num1; ULONG num2; ...
Windows驱动学习(七)-- 内核线程
安全杂货铺
11-22 2209
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_Thread 1. 概述 内核开发少不了线程创建调用,这章就来实现线程的编程。 2. 驱动编写 2.1 驱动入口函数 入口函数没啥代码,就是调用CreateThread函...
线程创建线程 用户 内核观感
lcf枫的博客
03-08 144
线程创建线程 用户 内核观感 https://stackoverflow.com/questions/9305992/if-threads-share-the-same-pid-how-can-they-be-identified 问题 I have a query related to the implementation of threads in Linux. Linux does not...
<学习笔记>Windows驱动开发技术详解__驱动程序的同步处理
The New Old Things
09-28 6160
如果驱动程序没有很好地处理同步问题,操作系统的性能就会下降,甚至出现死锁等现象。 基本概念 1.问题的引出 下面这段代码: int number; void Foo() { number++; //做一些事情 number--
Windows驱动 - 事件
qq726232111的博客
12-22 638
0x00 函数 KeWaitForSingleObject将当前线程置于等待状态,直到给定的Dispatcher对象被设置为一个信号状态,或者(可选)直到等待超时。 PsCreateSystemThread 创建一个以内核模式执行并返回线程句柄的系统线程PsTerminateSystemThread 终止当前系统线程。 ZwClose关闭一个对象句柄。 KeInitializeEvent 将事件对象初始化为同步(单个侍者)或通知类型事件,并将其设置为已发出信号或未发出信号的状态。 KeS..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值