线程调度的监视

最新推荐文章于 2022-08-30 18:37:13 发布
最新推荐文章于 2022-08-30 18:37:13 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 系统知识 文章标签: thread exception hook byte list c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoboqingcai/article/details/232745
版权
提到因为想要无需硬编码的方案从而未选用SwapContex,后来又想了想用SwapContex也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContex了。前两天难得放假,写了一下看看效果。

  首先进入2000的SwapContext中,看看它作了什么。

0008:8040422C OR    CL,CL
0008:8040422E MOV    BYTE PTR ES:[ESI+2D],02
0008:80404233 PUSHFD                     //ESP+4 -> EFLAGS
0008:80404234 MOV    ECX,[EBX]
0008:80404236 CMP    DWORD PTR [EBX+0000080C],00
0008:8040423D PUSH   ECX                 //ESP -> exception list
0008:8040423E JNZ    80404338
0008:80404244 MOV    EBP,CR0
0008:80404247 MOV    EDX,EBP
0008:80404249 MOV    CL,[ESI+2C]
0008:8040424C MOV    [EBX+50],CL
0008:8040424F CLI
0008:80404250 MOV    [EDI+28],ESP          //将ESP存入了KTHREAD的KernelStack
0008:80404253 MOV    EAX,[ESI+18]
0008:80404256 MOV    ECX,[ESI+1C]
... ...

  很明显,ESP+8的地方就是在KiSwapThread中的调用SwapContex的返回地址,可由它得到SwapContex函数地址,但没必要,直接hook这个在KiSwapThread中的地址更好些。

  下面的问题就是找出一个KernelStack可访问的非当前线程,这个很容易。示例代码片断(在2000/XP测试):

PCHAR GetSwapAddr()
{
  PCHAR res = 0;
  NTSTATUS Status;
  PETHREAD Thread;

  if (*NtBuildNumber <= 2195)
    Status = PsLookupThreadByThreadId((PVOID)4, &Thread);
  else
    Status = PsLookupThreadByThreadId((PVOID)8, &Thread);

  if (NT_SUCCESS(Status))
  {
    if (MmIsAddressValid(Thread))
      res = (PCHAR)*PULONG(PCHAR(Thread)+0x28);
    if (MmIsAddressValid(res+8))
      res = (PCHAR)*PULONG(res+8);
    else
      res = 0;
  }

  return res;
}

PBYTE GoBackAddr = 0;
__declspec(naked) VOID HookSwap()
{
  DbgPrint("%08x/n", KeGetCurrentThread());
  _asm mov eax, GoBackAddr
  _asm jmp eax
}

HookSwapFunc()
{
... ...
  PCHAR SwapAddr = GetSwapAddr();
  if (SwapAddr)
    GoBackAddr = HookFunction(SwapAddr, HookSwap);
... ...
}

  HookFunction代码的具体实现自然是仁者见仁了。

  下面是一些结果:

4.343   Default      SwapAddr=80404141
4.343   Default      813b8c00
4.343   Default      fe995480
4.359   Default      81429660
4.359   Default      81429260
4.359   Default      805e5520
4.359   Default      813e15c0
4.359   Default      8139f500
4.359   Default      8139f260
4.375   Default      805e5520
4.375   Default      812ea140
4.390   Default      805e5520
4.390   Default      8139f500
4.390   Default      8139f260
4.406   Default      805e5520
4.422   Default      805e5520
4.422   Default      fe995480
4.422   Default      fe995480
4.422   Default      fe995480
4.422   Default      8139f500
4.422   Default      8139f260
4.422   Default      813a66e0
luoboqingcai
关注
专栏目录
监控线程的3种方法
weixin_33763244的博客
12-27 5900
1. JDK命令行工具 - jstack jps -l 查询当前运行线程 barry@Y430P:~/data/projects/test$ jps -l 18339 /usr/share/dbeaver//plugins/org.eclipse.equinox.launcher_1.4.0.v20161219-1356.jar 9046 org.jetbrains.jps.cmdline.L...
线程调度分析、监控工具(demo)
12-04
线程调度图形化分析工具,根据优先级依次分行排列线程信息:分别显示 序号、优先级、线程名、线程调度运行图形化信息 可以统计运行次数、调度次数、实际运行时间、运行总时间(含被抢占时间)、有效运行时间比(实际运行时间/运行总时间),CPU使用率 可以在线监控,也可以导入数据分析 demo例程使用ti sys\bios 系统做演示,内含演示源代码及相应的数据 demo使用方式:加载.dat数据以及.out程序文件,通过ctrl+滚轮控制缩放,通过垂直、水平滚动条控制图形上下左右移动
监控服务程序调度算法实现
搜索引擎、个性化推荐、大数据相关学习笔记|
12-09 2410
转贴请声明原文:http://blog.csdn.net/duck_genuine/article/details/8276169 监控服务程序实现调度算法 完成nginx服务监控(从nginx配置解析出对应的服务作为监控对象之五,还有可以从数据库里读出待监控的服务)与更新服务后的监控算法:                 处理休眠队列---------将所有的待监控服务记
线程状态转换和调度
厉兵秣码
07-26 334
线程状态转换 初始状态/新建状态(New):新创建了一个线程对象。 就绪状态/可运行状态(Runnable):线程对象创建后,其他线程调用了该对象的start()方法,该状态的线程位于可运行线程池中,已经获取了运行所需要的资源,等待获取CPU的使用权。 运行状态(Running):就绪状态的线程获取了CPU的使用权,执行程序代码。 阻塞状态(Blocked):阻塞状态是线程因为某种原因放弃CPU的使用权,暂时停止运行。直到线程进入就绪状态,才有机会进入运行状态,阻塞的情况分为三种: (一)等待阻塞:运行
Nachos LAB1 线程机制和线程调度实现
litangusa的博客
10-26 1820
Author:LiTang Student ID:************* E-mail:litang@stu.pku.edu.cn LAB1 线程机制和线程调度实现 调研Linux的进程控制块 五个互斥状态 状态 描述 TASK_RUNNING 表示进程正在执行,或者已经准备就绪,等待处理机调度 TASK_INTERRUPTIBLE 表示进程因等待某种资源而被挂起(阻塞态),一旦资源就绪,进程就会转化为TASK_RUNNING态 TASK_UNINTERRUPTIBLE 与TAS
线程监视
08-24
线程是操作系统调度的基本单元,每个程序都可以包含一个或多个线程,它们并行执行任务,提高了程序的执行效率。理解线程的行为对于优化性能、调试多线程程序以及排查资源争抢问题至关重要。 "ProcessThreadsView" ...
Java并发编程系列11 | 线程调度
weixin_48791363的博客
02-04 103
本文介绍线程调度的如下几个操作: 线程优先级 守护线程 线程中断 join sleep yield wait & notify 1. 优先级 每个线程执行时都有一个优先级的属性,优先级高的线程可以获得较多的执行机会,而优先级低的线程则获得较少的执行机会。 操作系统采用时分的形式调度运行的线程,操作系统会分出一个个时间片,线程会分配到若干时间片,当线程的时间片用完了就会发生线程调度,并等待着下次分配。线程分配到的时间片多少也就决定了线程使用处理器资源的多少,而线程优先级就是决定线程需要多或者少分.
浅谈PLC在调度信号监视系统中的应用.pdf
08-08
在深入探讨PLC(可编程逻辑控制器)在调度信号监视系统中的应用之前,我们首先需要了解什么是PLC,以及它在工业自动化领域内的基本作用。PLC是一种用于自动化控制的数字运算设备,它能够根据用户设计的程序,对机械...
编写进程/线程监视
11-03
在计算机系统中,进程与线程是操作系统管理和调度的基本单位。为了深入了解系统的运行状态,尤其是监控特定进程或线程的创建、销毁以及加载模块等行为,开发一个进程/线程监视器显得尤为重要。本文将基于给定的部分...
Java实时多任务调度过程中的安全监控设计
longyanqian的专栏
12-17 1168
Java实时多任务调度过程中的安全监控设计内容:问题分析设计原理设计实现结束语源代码关于作者相关内容:TCP/IP 介绍TCP/IP 介绍-->Java 专区中还有:
操作系统常见调度算法
CSNDC的博客
08-30 1012
操作系统调度算法
线程消息+HOOK+皮肤
nvcgkk的博客
12-28 506
1.线程的消息通讯SendMessage 》》向窗口派发 PostMessage 》》向窗口派发 .向线程发消息:PostThreadMessage() 不是每个线程都能拥有消息队列, windows系统中,必须是UI线程,才能从系统中分配到一个属于线程自己的消息队列, 如果在线程回调函数中使用到了以下两个API,系统会认定该线程是一个UI线程: GetMessage(); CreateWi
C++笔记-利用远程线程注入获取PC版微信个人昵称
IT1995的博客
12-02 5562
目录 程序运行 代码与实例 源码打包下载 程序运行 运行程序: 点击确定: 本人微信对应的版本如下: 微信版本如下: 代码与实例 这里直接用CE,然后用二分法去找基址就可以。最后发现是在 WeChatWin.dll加上0x13972DC的偏移上,这里给出其他信息的偏移: 关键代码如下: 注入器: #in...
线程调度
SamingWong的博客
07-27 967
Java虚拟机会按照特定的机制为程序中每个线程分配CPU的使用权,这种机制被称为线程调度线程调度有两种模型:分时调度模型和抢占式调度模型。 分时调度模型是指让所有的线程轮流获得cpu的使用权,并且平均分配每个线程占用的CPU的时间片。 抢占式调度模型是指优先让可运行池中优先级高的线程占用CPU,如果可运行池中的线程优先级相同,那么就随机选择一个线程,使其占用CPU。线程的优先级0到10整数
spring scheduled的动态线程调度和任务进度的监控
热门推荐
yyx1025988443的博客
12-02 2万+
spring scheduled的动态线程调度和任务进度的监控这篇文章讲述使用spring自带的轻量级调度系统进行动态任务调度,并基于此自定义实现了任务进度监控调度。(注:项目中并未依赖QuartZ,基于QuartZ和Spring的动态调度参见: Quartz学习——Spring和Quartz集成详解)一、spring原生调度api的基础应用在Spring中如果我们想要实现一个调度任务,只需要简
mysql8.*的安装
whq1576049813的博客
12-08 122
链接:https://www.cnblogs.com/gaogaoyanjiu/p/9609923.html 作者写的很详细,我只是个搬运工,如有侵权,请联系删除!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值