windows第三大结构体--KPCR

最新推荐文章于 2024-07-03 16:17:13 发布
最新推荐文章于 2024-07-03 16:17:13 发布
阅读量656 收藏 3
点赞数
分类专栏: 操作系统 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/131354843
版权

前面我们介绍了windows的两大结构体,一个是进程结构体,一个是线程结构体。那么第三个就是KPCR。KPCR是什么呢,是用于描述CPU的结构体。每一个CPU都有一个这样的结构体来描述CPU干了什么事。

1.在当线程切换的时候,也就是线程从3环进入0环时,FS:[0]->TEB切换成KPCR

2.每个CPU都有一个KPCR结构体

3.KRCR中存储了CPU本身要用到的一些重要的数据结构:GDT.IDT等

上图就是KPCR结构体成员。

 第一个成员叫NtTib,这个成员非常重要。它也是个结构体:

 在KPCR最后一个成员叫PrcbData,他是一个扩展结构体,也是放了很多有用的信息。不过这个结构体很大,我们截取一部分看看:

    +0x004 CurrentThread    : Ptr32 _KTHREAD
   +0x008 NextThread       : Ptr32 _KTHREAD
   +0x00c IdleThread       : Ptr32 _KTHREAD

这三个成员和线程切换有关,第一个描述了当前在跑的线程,第二个描述了一会要切换的线程是谁,第三个是当没有线程需要执行的时候,执行的空闲线程是谁。

call就不要ret
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于KPCR结构的Windows物理内存分析方法.pdf
09-08
介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。
合工大C++课程设计-结构体-员工管理系统
04-08
合工大C++课程设计-结构体-员工管理系统
Windows内核基础之KPCR
tutucoo
12-07 1095
1.概述 KPCR是CPU的一个结构体,它就像EPROCESS对于进程,ETHREAD对于线程,KPCR对于CPU是非常重要的,它的全称是Processor Control Region。 fs:[0]在3环时指向TEB,在0环时指向KPCR,每一个CPU核心都对应着一个KPCR,KPCR存储了CPU需要使用的一些重要信息,比如GDT\IDT以及线程相关的信息 2.KPCR结构体 nt!_KPCR...
Windows内核解析之KPCR结构体和FS:[0]
bcbobo21cn的专栏
01-28 624
Windows内核解析之KPCR结构体和FS:[0];
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1106
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
35 进程与线程之KPCR
qq_18059143的博客
11-29 343
如果想逆向分析操作系统代码的,需要对段页的汇编代码熟悉,还需要知道三个结构体,进程结构体EPROCESS,ETHREAD,KPCR 下面来介绍KPCR KPCR是描述CPU的,准确说是描述当前正在运行的CPU的数据。 1、KPCR介绍 1) 当线程进入0环时,先切换FS,因为FS指向TEB。FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR...
KPCR学习
kernweak的博客
09-03 1791
KPCR:CPU控制区(Processor Control Region) KPCR介绍 KPCR相当于一个副本,存储着线程相关的一些重要信息,这样CPU在处理时就不用查线程了。 1) 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR结构体(一个核一个) 3) KPCR中存储了CPU本身要用的一些重要数据:GDT、...
KPCR
热门推荐
莫灰灰的专栏
05-29 2万+
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息.  通常fs
2.C++中的结构体-C管理进程代码-C++管理进程代码-C语言中的联合体.docx
11-23
C++中的结构体和管理进程代码详解 结构体是C++中的一种自定义数据类型,可以包含多个变量和函数成员。结构体的成员可以是变量、函数或其他结构体结构体的定义使用struct关键字,后面跟着结构体的名称和成员列表。...
C语言简单练习题--结构体--投票系统
01-28
C语言简单练习题--结构体--投票系统
408结构体对齐-typedef-结构体指针-c++引用
最新发布
07-07
● 对结构体scanf依旧需要&,除非对应的成员是数组。 ● 对结构体数组scanf依旧需要&,除非对应取的成员是数组! ○ 对结构体数组,是赋值给结构体指针时,才不去要&。 ● 结构体对齐:结构体的大小必须是其最大...
结构体-投票系统
08-19
例如,如果只有三个候选人,可以定义一个整型数组`int votes[3]`来分别存储他们的票数。 结合以上信息,我们可以设想这个投票系统的工作流程如下: 1. 定义一个结构体`Candidate`,包含`name`(string类型)和`...
驱动-KPCR
chengtoreal的博客
03-12 203
KPCR(CPU控制区) KPCR存储CPU本身要用的一些重要数据:GDT、IDT以及线程相关的信息。 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB) 每个CPU都有一个KPCR结构体(一个核一个) windbg指令 dd KiProcessorBlock 查看KPCR KPCR结构体 0x01c SelfPcr 指向KPCR自己 0x020 Prcb 指向拓展的_KPRCB结构体 0x038 IDT IDT表基址 0x03c GDT GDT表基址 0x040
KPCR结构体
08-04 1923
@0环的ETHREAD结构体是记录线程的相关信息,EPROCESS结构体是记录进程相关的信息,同样我们每个CPU也有一个结构体来记录每个CPU的状态这个结构体就是KPCR结构体KPCR结构体如下下面该结构体中几个主要的成员, kd> dt _KPCR nt!_KPCR   +0x000 NtTib            : _NT_TIB   +0x01c SelfPcr          ...
_KPCR&_KPRCB
weixin_45678798的博客
07-31 734
Windows 内核有个特殊的基本要求,当CPU运行在内核上时,FS会指向一个名为KPCR的结构体。从一个CPU 的KPCR 结构出发,可以直接或间接地找到与该CPU 有关的许多信息
新型开发语言的试用感受-仓颉语言发布之际
opendba的专栏
07-03 1713
Zig、Odin、Mojo、codon、carbon、nim等语言的使用感受
c语言结构体-时间换算
12-07
以下是C语言结构体-时间换算的示例代码: ```c #include <stdio.h> #include <stdint.h> #include <time.h> typedef struct { char bFileName[6]; //头文件名 char isInitialization; //初始化标志 uint16_t saveindex; //存储索引 从0开始每条19个字节... } FileHeader; int main() { time_t begin_time = 1638288000; // 开始时间戳 time_t end_time = 1639065600; // 结束时间戳 struct tm *begin_tm = localtime(&begin_time); // 开始时间的tm结构体 struct tm *end_tm = localtime(&end_time); // 结束时间的tm结构体 printf("begin_time=%ld, end_time=%ld\n", begin_time, end_time); for (int i = 0; i < 10; i++) { printf("year=%d, month=%d, day=%d\n", begin_tm->tm_year + 1900, begin_tm->tm_mon + 1, begin_tm->tm_mday); begin_time += 86400; // 加上一天的秒数 begin_tm = localtime(&begin_time); // 更新tm结构体 } return 0; } ``` 该示例代码中,我们定义了一个结构体`FileHeader`,其中包含了三个成员变量。然后我们定义了两个时间戳`begin_time`和`end_time`,并通过`localtime`函数将其转换为`tm`结构体。接着我们通过循环遍历每一天,并通过`printf`函数输出年月日信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值