36 进程与线程之等待链表调度链表

最新推荐文章于 2023-06-23 22:22:26 发布
最新推荐文章于 2023-06-23 22:22:26 发布
阅读量333 收藏 1
点赞数 1
分类专栏: 滴水
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18059143/article/details/103313337
版权

    
    进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程所有的线程。

    对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。

    对线程断链也是一样的,断链后在Windbg或者OD中无法看到被断掉的线程,但并不影响其执行(仍然再跑)。
    
    1、33个链表

    线程有3种状态:就绪、等待、运行

    正在运行中的线程存储在KPCR中,就绪和等待的线程全在另外的33个链表中。
    一个等待链表,32个就绪链表:

    这些链表都使用了_KTHREAD(0x060)这个位置,也就是说,线程在某一时刻,只能属于其中一个圈。

    2、等待链表

    kd> dd KiWaitListHead
    

kd> dd KiWaitListHead
80553d88  86212a88 8632a5a0 00000011 00000000
80553d98  e57a42bd d6bf94d5 01000013 ffdff980
80553da8  ffdff980 80500df0 00000000 000021f4
80553db8  00000000 ffdff9c0 80553dc0 80553dc0
80553dc8  00000000 00000000 80553dd0 80553dd0
80553dd8  00000000 00000000 00000000 863b0af0
80553de8  00000000 00000000 00040001 00000000
80553df8  863b0b60 863b0b60 00000001 00000000

(双向链表,两个值都有用,通过这个值可以遍历所有处于等待的线程,指向的是线程结构体ETHREAD)

    比如:线程调用了Sleep() 或者 WaitForSingleObject()等函数时,就挂到这个链表

   通过逆向系统代码可以追出KiWaitListHead这类的全局符号

    通过以下方式找到所属进程(一直等待链表的一个值为0x86212a88),可以

dt  _ETHREAD 86212a88-60---->查看0x220位置进程结构体指针 a

dt _EPROCESS a--->0x174地址得到进程名

kd> dd KiWaitListHead
kd> dt _KTHREAD 895fd230(表里成员) - 60
kd> dt _ETHREAD 895fd230(表里成员) - 60

_ETHREAD->0x220 ThreadsProcess   : 0x898ac6b8 _EPROCESS

kd> dt _EPROCESS 0x898ac6b8

 

3、调度链表(就绪链表)

    调度链表有32个圈,就是优先级:0 - 31  0最低  31最高  默认优先级一般是8

    改变优先级就是从一个圈里面卸下来挂到另外一个圈上

    这32个圈是正在调度中的线程:包括正在运行的和准备运行的

    比如:只有一个CPU但有10个线程在运行,那么某一时刻,正在运行的线程在KPCR中,其他9个在这32个圈中
    
    4、查看调度链表

    既然有32个双向链表,就要有32个链表头。

    kd> dd KiDispatcherReadyListHead L70

kd> dd KiDispatcherReadyListHead L70
80554820  80554820 80554820 80554828 80554828
80554830  80554830 80554830 80554838 80554838
80554840  80554840 80554840 80554848 80554848
80554850  80554850 80554850 80554858 80554858
80554860  80554860 80554860 80554868 80554868
80554870  80554870 80554870 80554878 80554878
80554880  80554880 80554880 80554888 80554888
80554890  80554890 80554890 80554898 80554898
805548a0  805548a0 805548a0 805548a8 805548a8
805548b0  805548b0 805548b0 805548b8 805548b8
805548c0  805548c0 805548c0 805548c8 805548c8
805548d0  805548d0 805548d0 805548d8 805548d8
805548e0  805548e0 805548e0 805548e8 805548e8
805548f0  805548f0 805548f0 805548f8 805548f8
80554900  80554900 80554900 80554908 80554908
80554910  80554910 80554910 80554918 80554918
80554920  00000000 00000000 00000000 00000000
80554930  00000000 00000000 00000000 00000000
80554940  00000000 00000000 00000000 00000000
80554950  00000000 e1006000 00000000 00000000
80554960  00000001 ee25cc90 00000000 00040001
80554970  00000000 80554974 80554974 00000000
80554980  00000000 863ea3d0 863ea5a0 00000000
80554990  00000000 00000000 00000000 00000000
805549a0  00b19001 00000000 00b1a001 00000000
805549b0  00b1b001 00000000 00b1c001 00000000
805549c0  f7c0b300 000d0069 00000000 00000010
805549d0  00000000 00000000 00000000 00000000


    
    5、版本差异

    XP只有一个33个圈,也就是说上面这个数组只有一个,多核也只有一个.

    Win7也是一样的只有一个圈,如果是64位的,那就有64个圈.

    服务器版本:

        KiWaitListHead整个系统只有一个,但KiDispatcherReadyListHead这个数组有几个CPU就有几组

    6、总结:

    1、正在运行的线程在KPCR中

    2、准备运行的线程在32个调度链表中(0 - 31级),KiDispatcherReadyListHead 是个数组存储了这32个链表头.

    3、等待状态的线程存储在等待链表中,KiWaitListHead存储链表头.

    4、这些圈都挂一个相同的位置:_KTHREAD(0x060),无论线程处于等待状态和调度状态,指针都挂在0x60位置
 

^卿^
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反隐藏进程技术检测技术 基本能查出当前所有Rootkit隐藏的进程 利用挂钩线程调度链表来实现.zip
01-28
本资料主要探讨了如何利用反隐藏进程技术来检测并揭露Rootkit隐藏的进程,特别是通过挂钩线程调度链表的方法。 线程调度是操作系统中的核心功能,负责决定哪些线程应该获得CPU执行时间。在Windows系统中,这个过程...
Windows进程线程学习笔记(四)—— 等待链表&调度链表
qq_41988448的博客
11-15 2166
Windows进程线程学习笔记(四)—— 等待链表&调度链表前言要点回顾33个链表等待链表实验:分析等待链表中的线程所属的进程第一步:查看所属线程结构体:第二步:查看所属进程结构体调度链表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程...
线程死锁的产生以及如何避免死锁
热门推荐
jayxu无捷之径的博客
07-13 11万+
一、死锁的定义 多线程以及多进程改善了系统资源的利用率并提高了系统 的处理能力。然而,并发执行也带来了新的问题——死锁。所谓死锁是指多个线程因竞争资源而造成的一种僵局(互相等待),若无外力作用,这些进程都将无法向前推进。 下面我们通过一些实例来说明死锁现象。 先看生活中的一个实例,在一条河上有一座桥,桥面很窄,只能容纳一辆汽车通行。如 果有两辆汽车分别从桥的左右两端驶上该桥,则会出现
KPCR
莫灰灰的专栏
05-29 2万+
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息.  通常fs
进程线程002 等待链表 调度链表
鬼手的博客
01-01 646
文章目录前言等待链表33个链表调度链表版本差异总结 前言 进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程的所有线程。 对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。 对线程断链也一样,断链后在Windbg或者OD无法看到被断掉的线程,但并不影响线程执行。 等待链表 线程有三种状态:就绪...
C# 获取进程线程的相关信息
xinsuanwencun的专栏
12-16 1048
C# 获取进程线程的相关信息   using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Diagnostics; namespace ConsoleApp {     class ProcessDo     {
利用线程调度链表来检测进程的代码
08-01
标题 "利用线程调度链表来检测进程的代码" 暗示了本文将深入探讨在Linux操作系统中,如何通过线程调度机制来监控和理解进程的行为。在Linux内核中,线程调度是实现多任务并发执行的核心部分,而线程调度链表则是其...
iLeadDownloader_giftcs1_线程链表_ico3216_Vc_多线程_源码
10-04
《C++实现多线程线程链表的DLL组件:iLeadDownloader_giftcs1_ico3216_Vc》 在IT领域,多线程编程是提高系统效率和响应速度的重要技术,尤其在处理大量并发任务时。本文将深入探讨如何利用C++构建一个支持多线程...
live555的核心数据结构值之闭环双向链表
最新发布
07-19
它支持单进程线程模型,能够同时处理多个客户端连接并有序地调度媒体流。在实现这一功能的过程中,live555采用了多种高效的数据结构,其中闭环双向链表是其核心之一。 闭环双向链表是一种特殊的链表结构,每个...
时间片轮转算法.zip_进程线程_C/C++__进程线程_C/C++_
08-09
进程在分配的时间片内未完成其任务时,它会被强制暂停,转到就绪队列的末尾,等待下一次被调度。这一过程会持续进行,直到所有进程都得到执行。 在C/C++编程中,实现时间片轮转算法通常涉及以下几个关键点: 1. ...
windows第三大结构体--KPCR
qq_30528603的博客
06-23 682
前面我们介绍了windows的两大结构体,一个是进程结构体,一个是线程结构体。KPCR是什么呢,是用于描述CPU的结构体。每一个CPU都有一个这样的结构体来描述CPU干了什么事。这三个成员和线程切换有关,第一个描述了当前在跑的线程,第二个描述了一会要切换的线程是谁,第三个是当没有线程需要执行的时候,执行的空闲线程是谁。在KPCR最后一个成员叫PrcbData,他是一个扩展结构体,也是放了很多有用的信息。1.在当线程切换的时候,也就是线程从3环进入0环时,FS:[0]->TEB切换成KPCR。
4.等待链表调度链表
My classmates
10-19 674
等待链表 kd>dd KiWaitListHead 比如:线程调用了Sleep()或者WaitForSingleObject()等函数时,就挂到这个双向链表, (查看等待线程) kd> dd KiWaitListHead kd> dt _KTHREAD 895fd230(表里成员) - 60 kd> dt _ETHREAD 895fd230(表里成员) - 60 _ETH...
等待链表 调度链表
qq_41490873的博客
05-29 162
等待链表 kd> dd KiWaitListHead 8055b088 861f83e0 862e7e08 00000011 00000000 8055b098 e57a42bd d6bf94d5 01000013 ffdff980 8055b0a8 ffdff980 804dd2cd 00000000 00000494 8055b0b8 00000000 ffdff9c0 8055...
Windows内核解析之KPCR结构体和FS:[0]
bcbobo21cn的专栏
01-28 630
Windows内核解析之KPCR结构体和FS:[0];
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1123
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
C# 通过进程名获进程的标题、程序路径、启动时间等
喜欢自学并分享经验的技术宅
09-05 2177
/模块入口地址(内存起始地址)IntPrt BaseAddress = ps[LastNum].MainModule.BaseAddress;由于.NET框架的安全性控制,所以对于操作内存数据还需要借助系统的API来实现。这个数组里面的数据还是非常多的,包括可以获取文件版本信息,占用内存等。找了一圈也没发现完整的介绍,通过东拼西凑和自己调试现将经验分享出来。
操作系统笔记—进程的死锁
qq_54684701的博客
09-14 433
死锁的概念 死锁:在并发环境下,各进程因竞争资源而造成的一种互相等待对方手里的资源,导致各进程都被阻塞,都无法向前推进(至少有两个或两个以上的进程同时发生) 饥饿:长时间得不到想要的资源,某进程无法向前推进。(可能只有一个进程发生饥饿,发生饥饿的进程可能是阻塞态(得不到I/O设备),也可能是就行态(得不到处理机)) 死循环:某种进程执行过程中一直跳不出某个循环的现象。(可以在处理机上循环,可能处于运行态) 死锁和饥饿是操作系统应该解决的问题,死循环饿是管理者的问题。 死锁产生的必要条件: 1.互斥条件:只有
win7x64下的kpcr结构和kprcb结构
baidu_36226689的博客
04-12 3013
//翻网页看全是x86的,然后我就自己来找x64的 //下面都是windbg调的 nt!_KPCR    +0x000 NtTib            : _NT_TIB    +0x000 GdtBase          : Ptr64 _KGDTENTRY64    +0x008 TssBase          : Ptr64 _KTSS64    +0x010 Us
Linux内核深度解析:进程调度机制详解
进程控制表采用动态数据结构,既是数组、双向链表,也类似于树形结构,通过静态数组实现,其大小由内核变量维护。 进程的状态在Linux中非常重要,包括以下几个主要状态: 1. TASK_RUNNING:进程处于就绪状态,位于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值