35 进程与线程之KPCR

最新推荐文章于 2020-08-07 20:33:22 发布
最新推荐文章于 2020-08-07 20:33:22 发布
阅读量351 收藏 1
点赞数
分类专栏: 滴水
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18059143/article/details/103312618
版权

如果想逆向分析操作系统代码的,需要对段页的汇编代码熟悉,还需要知道三个结构体,进程结构体EPROCESS,ETHREAD,KPCR
下面来介绍KPCR
KPCR是描述CPU的,准确说是描述当前正在运行的CPU的数据。
1、KPCR介绍

1) 当线程进入0环时,先切换FS,因为FS指向TEB。FS:[0]指向KPCR(3环时FS:[0] -> TEB)
  
2) 每个CPU都有一个KPCR结构体(一个核一个)

3) KPCR中存储了CPU本身要用的一些重要数据:GDT、IDT以及线程相关的一些信息。

(在winbbg中查看KPCR结构体)
dt _KPCR 

kd> dt _KPCR
ntdll!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x000 Used_ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD
   +0x004 Used_StackBase   : Ptr32 Void
   +0x008 Spare2           : Ptr32 Void
   +0x00c TssCopy          : Ptr32 Void
   +0x010 ContextSwitches  : Uint4B
   +0x014 SetMemberCopy    : Uint4B
   +0x018 Used_Self        : Ptr32 Void
   +0x01c SelfPcr          : Ptr32 _KPCR
   +0x020 Prcb             : Ptr32 _KPRCB
   +0x024 Irql             : UChar
   +0x028 IRR              : Uint4B
   +0x02c IrrActive        : Uint4B
   +0x030 IDR              : Uint4B
   +0x034 KdVersionBlock   : Ptr32 Void
   +0x038 IDT              : Ptr32 _KIDTENTRY
   +0x03c GDT              : Ptr32 _KGDTENTRY
   +0x040 TSS              : Ptr32 _KTSS
   +0x044 MajorVersion     : Uint2B
   +0x046 MinorVersion     : Uint2B
   +0x048 SetMember        : Uint4B
   +0x04c StallScaleFactor : Uint4B
   +0x050 SpareUnused      : UChar
   +0x051 Number           : UChar
   +0x052 Spare0           : UChar
   +0x053 SecondLevelCacheAssociativity : UChar
   +0x054 VdmAlert         : Uint4B
   +0x058 KernelReserved   : [14] Uint4B
   +0x090 SecondLevelCacheSize : Uint4B
   +0x094 HalReserved      : [16] Uint4B
   +0x0d4 InterruptMode    : Uint4B
   +0x0d8 Spare1           : UChar
   +0x0dc KernelReserved2  : [17] Uint4B
   +0x120 PrcbData         : _KPRCB


 

dt _NT_TIB
2、_NT_TIB主要成员介绍 (成员与三环的TEB一样,但数据内容不一样)

1)    +0x000 ExceptionList    : Ptr32_EXCEPTION_REGISTRATION_RECORD
           当前线程内核异常链表(SEH)

2)    +0x004 StackBase        : Ptr32 Void
       +0x008 StackLimit       : Ptr32 Void
    当前线程内核栈的基址和大小

3)    +0x018 Self             : Ptr32 _NT_TIB    

    指向自己(也就是指向KPCR结构) 这样设计的目的是为了查找方便.
3、KPCR的其他成员介绍

1)    +0x01c SelfPcr          : Ptr32 _KPCR
    指向自己,方便寻址
           
2)    +0x020 Prcb             : Ptr32 _KPRCB
    指向拓展结构体PRCB  

3)    +0x038 IDT              : Ptr32 _KIDTENTRY
    IDT表基址

4)    +0x03c GDT              : Ptr32 _KGDTENTRY
    GDT表基址

5)    +0x040 TSS              : Ptr32 _KTSS
    指针,指向TSS,每个CPU都有一个TSS.

6)    +0x051 Number           : UChar
    当前CPU编号:0 1 2 3 4 5。。。

7)    +0x120 PrcbData         : _KPRCB
    拓展结构体
    dt _KPRCB
    
5、PRCB成员介绍

    +0x004 CurrentThread    : Ptr32 _KTHREAD
    当前线程
       +0x008 NextThread       : Ptr32 _KTHREAD
    即将切换的下一个线程
       +0x00c IdleThread       : Ptr32 _KTHREAD 
    空闲线程 

    

    

         

^卿^
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向进程线程
若面朝大海边竹妮春暖花开的博客
11-06 1169
一、进程结构体 EPROCESS是0环进程结构体,PEB是三环进程结构体 EPROCESS的第一个成员为KPROCESS WaitForSingleObject可以等待对象、进程线程,只要0环对象以DISPATCH_HEADER开头称为可等待对象 DirectoryTableBase为页目录表基址,是要填到Cr3中的值 windbg中dd PsActiveProcessHead查看链...
论文研究-基于KPCR结构的Windows物理内存分析方法.pdf
09-08
介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比...
Windows进程线程学习笔记(三)—— KPCR
qq_41988448的博客
11-12 1202
Windows进程线程学习笔记(三)—— KPCR前言KPCR+0x000 NtTib : _NT_TIB+0x120 PrcbData : _KPRCB 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! KPCR 描述:CPU控制区(Processor Control Region) 当线程进入...
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1118
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
35 进程线程线程结构体
qq_18059143的博客
11-29 618
上节课我们说了EPROCESS,这次我们讲讲线程结构体ETHREAD 使用dt _ETHREAD查看线程结构体内容 dt _ETHREAD ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime :...
Windows进程线程学习笔记(二)—— 线程结构体
qq_41988448的博客
11-12 1179
Windows进程线程学习笔记(二)—— 线程结构体前言线程结构体ETHREAD+0x000 Tcb : _KTHREAD练习 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 线程结构体 ETHREAD 描述: 每个windows线程在0环都有一个对应的结构体:ETHREAD 这个结构体包含了线程所有重要的...
37进程线程之主动切换
qq_18059143的博客
12-04 174
ida 分析KiSwapThread(在ntoskrnl.exe中) sub esp, 10h mov [esp+10h+var4], ebx ;保存当前线程寄存器现场 mov [esp+10h+var_8], esi mov [esp+10h+var_C], edi mov [esp+10h+var_10], ebp mov ebx, ...
CPU核&进程&线程
Asaue的博客
08-07 1183
进程线程 本文以范围从大到小介绍CPU核,CPU逻辑线程,程序进程,程序线程 1.CPU的多核多线程(逻辑线程) ​ 中央处理器(CPU,central processing unit)作为计算机系统的运算和控制核心,是信息处理、程序运行的最终执行单元。CPU 自产生以来,在逻辑结构、运行效率以及功能外延上取得了巨大发展。(form baidu) ​ 拥有几个运算器的cpu就是几核cpu,以我的笔记本举例,R74800H版本的CPU,8核16线程 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下
KPCR与进程.md
leeham的博客
10-07 623
KPCR与进程 KPCR KPCR1 KPCR2 (Kernel) Processor Control Region a KPCR for each logical processor KPCR is the means through which the kernel manages them(processors). 由于Windows需要支持多个CPU, 因此Windows内核中为此定义了...
进程线程之Windows线程切换——TSS
qq_18059143的博客
12-05 735
SwapContext这个函数是Windows线程切换的核心,无论是主动切换还,是系统时钟导致的线程切换,最终都会调用这个函数。 在这个函数中除了切换堆栈以外,还做了很多其他的事情,了解这些细节对我们学习操作系统至关重要。 下面我们看看线程切换与TSS的关系。 栈底开始往上0x210个字节存储浮点寄存器的值,以上都是TrapFrame结构(在api3环进0环已经讲过了)。 调用API...
chemoactbx.rar_MLR matlab_MLR 光谱_kpcr_matlab NIR_pls
07-15
《MATLAB工具箱在光谱分析中的应用:MLR、PCA、PLS与KPCR》 MATLAB(矩阵实验室)是一种强大的编程环境,尤其在数据分析和科学计算领域有着广泛的应用。在化学、生物和工程等领域,MATLAB工具箱通常被用来处理和...
Windows操作系统多核CPU内核线程管理方法
10-18
调度器会在时间片到期或收到切换线程指令时,选择下一个要执行的线程,并将线程上下文加载到KPCR结构中,由CPU根据KPRCB结构执行线程代码。 在多核环境下,Windows调度程序会更加复杂,需要考虑如何平衡各个核心的...
论文研究-基于EEMD和进化KPCR的复杂时间序列自适应预测建模.pdf
09-20
论文研究-基于EEMD和进化KPCR的复杂时间序列自适应预测建模.pdf, 针对具有非线性、非平稳、多尺度特性的... 与现有方法相比, 具有较强的自适应建模能力和较高的预测精度.
示例驱动程序
11-28
“KPCR”是每个处理器核心在Windows内核中都有一个的数据结构,它存储了与当前处理器状态相关的关键信息,如中断描述符表寄存器(IDTR)、全局描述符表寄存器(GDTR)、程序计数器(EIP)等。由于KPCR包含敏感信息,...
38进程线程线程切换----时钟中断切换
qq_18059143的博客
12-05 880
绝大部分系统内核函数都会调用SwapContext函数,来实现线程的切换,那么这种切换是线程主动调用的。 如何中断一个正在执行的程序? 异常 比如缺页,或者INT N指令 中断 比如时钟中断 Windows系列操作系统: 10-20毫秒 如要获取当前的时钟间隔值,可使用Win32API: GetSystemTimeAdjustment 线程切换的几种情况: 1) 主动调用AP...
34进程线程进程结构体
qq_18059143的博客
11-29 617
前言:操作系统创造进程线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
40 进程线程之Windows线程切换——FS段寄存器
qq_18059143的博客
12-05 535
FS:[0]寄存器在3环时指向TEB.进入0环后FS:[0]指向KPCR 系统中同时存在很多个线程,这就意味着FS:[0]在3环时指向的TEB要有多个(每个线程一份)。 但在实际的使用中我们发现,当我们在3环查看不同线程的FS寄存器时, FS的段选择子都是相同的,那是如何实现通过一个FS寄存器指向多个TEB呢? 下面是ida的分析SwapContext代码 ; CODE XREF: Sw...
36 进程线程之等待链表调度链表
qq_18059143的博客
11-29 332
进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程所有的线程。 对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。 对线程断链也是一样的,断链后在Windbg或者OD中无法看到被断掉的线程,但并不影响其执行(仍然再跑)。 1、33个链表 ...
PEB和SPEB的推导
最新发布
05-25
KPCR中的一个成员NtTib是线程信息块(Thread Information Block),存储了与线程相关的信息。 在NtTib中,有一个成员Peb,指向PEB。而SPEB则是由KPCR中的成员Prcb(Processor Control Block)指向的,Prcb是每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值