移除时钟KTIMER和DPC

最新推荐文章于 2020-11-18 07:39:29 发布
最新推荐文章于 2020-11-18 07:39:29 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 驱动 文章标签: C 驱动 win7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ming_taizi/article/details/70561064
版权
本文介绍了如何在Windows系统中枚举并移除KTIMER及其关联的DPC。通过KPRCB和KPCR结构,找到系统中的KTIMER链表,并通过特定条件判断找到目标KTIMER,最后使用KeCancelTimer()函数来移除定时器。文中详细阐述了查找和移除过程,并提供了相关结构体和寄存器的解读。
摘要由CSDN通过智能技术生成 
typedef struct _KTIMER {
    DISPATCHER_HEADER Header;
    ULARGE_INTEGER DueTime;
    LIST_ENTRY TimerListEntry;
    struct _KDPC *Dpc;

#if !defined(KENCODED_TIMER_PROCESSOR)

    ULONG Processor;

#endif

    ULONG Period;
} KTIMER, *PKTIMER, *PRKTIMER;

一、枚举所有KTIMER

通过这个结构体我们可以看出来DPC是KTIMER的一个成员,也就是说只要找到我们想要移除的KTIMER之后,移除KTIMER就可以移除DPC了,那么问题就来了,我们怎么找到KTIMER呢,而且系统里面有很多的KTIMER结构,就算找到了,怎么确定找到的KTIMER就是我们要移除的KTIMER呢。

所以我们可以理一下移除DPC的步骤:

1.先找到所有的KTIMER。

2.从所有的KTIMER中一个一个的找我们所要想要移除的KTIMER。(当然,如果一击即中,直接把我们所要移除的KTIMER从系统中拽出来,不用暴力枚举所有的KTIMER,那就最好了,不过好像没有办法这么做,网上也没有类似的方法,基本上都是暴力枚举所有KTIMER)

3.移除KTIMER。

 

说起来容易,那怎么寻找呢,原来,系统中有一个链表,这个链表将所有的KTIMER串起来,链表头存在于一个数组中,这个数组叫TimerEntries,256个数组成员,每一个成员都是一个链表头。这个数组存在于TimerTable数组中,TimerEntries是 TimerTable的第二数组成员,TimerTable这个数组存在结构体KPRCB0x2200(x64)或0x1960(x86)处,而KPRCB结构体指针又存在于结构体KPCR0x20处。KPCR结构体在64位中是在寄存器msr[c0000101]的位置,在32位中是在fs寄存器中。

关于KPRC等的解释可以看后面的脚注1。


好了,我们可以通过画图理一遍思路。




我们可以再通过Windbg调试看一下具体的信息:

 

X64:

msr寄存器

kd> rdmsr 0xc0000101

msr[c0000101] = fffff800`04055d00

KPCR 结构体

kd> dt _KPCR fffff800`04055d00

ntdll!_KPCR

   +0x000 NtTib            : _NT_TIB

   +0x000 GdtBase          : 0xfffff800`00b95000 _KGDTENTRY64

   +0x008 TssBase          : 0xfffff800`00b96080 _KTSS64

   +0x010 UserRsp          : 0x30ffb48

   +0x018 Self             : 0xfffff800`04055d00 _KPCR

   +0x020 CurrentPrcb      : 0xfffff800`04055e80 _KPRCB

......  

KPRCB 结构体

kd> dt _KPRCB 0xfffff800`04055e80

ntdll!_KPRCB

   +0x000 MxCsr            : 0x1f80

   +0x004 LegacyNumber     : 0 ''

   +0x005 ReservedMustBeZero : 0 ''

   +0x006 InterruptRequest : 0 ''

.....

   +0x2200 TimerTable       : _KTIMER_TABLE

......

最低0.47元/天 解锁文章
ming_taizi
关注
专栏目录
IO定时器和DPC定时器
weixin_42071117的博客
04-27 314
// driver.c #include <ntddk.h> KDPC dpc; KTIMER timer; LARGE_INTEGER timeout; // 卸载函数 VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject); // 普通分发函数 NTSTATUS DispatchRoutine(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp); // 时钟处理函数 VOID IoTimerTes
DPC时钟中断,以及DPC定时器(3)
Returns' Station
05-18 1902
3.定时器的扫描过程 真正开始扫描定时器的就是上述的KiRetireDpcList 检测到PRCB的定时器请求是true 调用KiTimerExpiration //解除定时器的操作 VOID KiTimerExpiration ( IN PKDPC TimerDpc, IN PVOID DeferredContext, IN PVOID SystemArgum
KeXxxTimer例程, KTIMER对象, 和DPC
死胖子的博客
02-21 1402
KeXxxTimer例程, KTIMER对象, 和DPC 自Windows 2000开始, 一系列KeXxxTimer 例程可用于管理计时器。这些例程使用基于KTIMER结构的定时器对象。 为了创建一个计时器对象,一个驱动程序首先申请一个KTIMER结构体的存储空间。然后驱动程序调用例如KeInitializeTimer或KeInitializeTimerEx的一个例程去初始化这个结构。一个定
C++高精度定时器
12-11 3949
/////////////////////////////////////////////////////////////////////////////// // KTimer.h // //      Windows Graphics Programming Win32 GDI and DirectDraw® //      Feng Yuan  //      P
x64驱动遍历 DPC 定时器
墨鱼菜鸡
05-22 207
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑...
ktimer.zip
09-23
总结来说,ktimer.zip提供的ktimer类和相关库文件为开发者提供了获取高精度时间的能力,适用于需要精确时间测量的场景。通过理解和应用这些知识点,开发者可以更好地管理和优化其项目中的时间敏感操作。
DPC计时器
qinqin772的博客
01-03 713
DPC计时器,是除了IO计时器的另一种内核方式的计时器技术,它能实现比IO计时器(秒级别)更加细微级别的时间间隔,   实现DPC 计时器所需要的函数 KeInitializeTimer,KeInitializeDpc,KeSetTimer #include KTIMER kTimer = { 0 }; KDPC dpc1 = { 0 }; KDPC dpc2 = { 0 }; VOID
The Complete Guide for Debugging a Stop 0x9F
lixiangminghate的专栏
01-10 1392
转自:www.sysnative.com Purpose: A collective summary of on the workings of a Stop 0x9F, and how to debug the two most common Stop 0x9F bugcheck types. I originally wrote this article in a Word document...
KPCR
Cherryuuuu
02-27 810
KPCR KPRCB
KTimer:一种简单的setTimeout递归方法
05-18
KTimer 一种集中式管理定时递归的轻量级解决方案 出发点 抽离项目中随意的定时递归代码,专心于业务而不用思考递归逻辑 集中式管理,可在跨组件等不同代码位置使用同一个定时器 安装 npm install ktimer Example // 每隔1秒(理想状态)调用callback函数 var ktimer1 = new KTimer('timer-1', { callback: function () { // do something }, delay: 1000 }) 更多示例请 clone 代码后 npm install && npm run example 查看 API 构造函数 KTimer (name: string,[options: obj]) options data: 可选 内部状态的初始值,会在内部保存一个副本,在计时或跨组件等获取状态时很有用
Windows内核源码详尽分析
03-13
详尽分析windows内核源码, 本文结合《Windows 内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows 核心编程》、《寒江独 钓-Windows 内核安全编程》、《Windows PE 权威指南》、《C++反汇编与逆向分析揭秘》以及 ReactOS 操作系 统 (V0.3.12)源码, 以《Windows 内核情景分析》为蓝本, 对 Windows 内核重要框架、函数、结构体进行 解析
Windows内核定时器总结
輚至消亡
11-18 1186
总结了两种内核态的定时器,IO定时器和DPC定时器。其显著特点是IO定时器精度至少为1秒而DPC定时器可以精确到100ns级别。 DPC定时器使用步骤: KeInitializeTimer初始化定时器 KeInitializeDpc(和1的步骤顺序无所谓)初始化DPC并设置对应例程 KeSetTimer 定时启动DPC例程 KeCancelTimer 停止DPC定时器 IO定时器使用步骤: IoInitializeTimer 初始化IO定时器 IoStartTimer 开始定时 IoStop
【转】三种Timer的使用
weixin_30408675的博客
08-26 1052
在.net中有三种计时器,一是System.Windows.Forms命名空间下的Timer控件,它直接继承自Componet;二是System.Timers命名空间下的Timer类。 Timer控件:Timer控件只有绑定了Tick事件,和设置Enabled=True后才会自动计时,停止计时可以用Stop()控制,通过Stop()停止之后,如果想重新计时,可以用Start()方法来启动计时器。...
[再mark] 系统注册的dpc,枚举定时器相关的……
Returns' Station
06-06 1459
续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html 刚没事儿又看了下~mark而已啊~   1. ExpTimerDpcRoutine   R3程序调用NtCreateTimer   创建句柄对应Etimer,etimer包含一个ktimer结构,最
DPC Timer
Returns' Station
05-11 1560
呼 回家第三天~睡到下午三点,太爽了。起来无聊看看timer 不知道是我构造关键词太烂还是怎么,好像网上说这个的挺少,internals也没提这个。所以一下内容大多是自己鼓捣的,不一定对。 一。使用 定时器的使用是比较简单的...随便抛点代码上来,自己看WDK就能搞定 1.初始化 1 //测试代码 就图方便用全局变量了,实际使用时可以放到设备扩展里 2 //
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4219
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
[Win驱动5]Windows内核定时器
輚至消亡
10-15 1172
两种定时器 1. IoTimer方式 NTSTATUS IoInitializeTimer( PDEVICE_OBJECT DeviceObject, PIO_TIMER_ROUTINE TimerRoutine, __drv_aliasesMem PVOID Context ); void IoStartTimer( PDEVICE_OBJECT DeviceObject ); void IoStopTimer( PDEVICE_OBJECT Dev
mcuxpresso ide串口发送10byte数据间隔100us发送一次
最新发布
05-11
这个代码示例使用了定时器和串口,定时器中断服务函数中每100us触发一次,用于向串口发送10个字节的数据,如果上一次发送还未完成,则等待上一次发送完成后再发送下一次数据。你可以根据实际需求进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值