_KWAIT_BLOCK使用时遇到的问题

最新推荐文章于 2022-12-19 23:48:12 发布
最新推荐文章于 2022-12-19 23:48:12 发布
阅读量641 收藏
点赞数
分类专栏: 爱好
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/110942366
版权

最近在写代码的时候遇到一个问题,就是_KWAIT_BLOCK中的取出来的Kthread取出来的数据是有问题的。

首先了解一下_KWAIT_BLOCK是什么东西,这个结构体是挂在_Kevent下面的Header,这个header只要是可等待对象都会有这个结构体(能够被wiatforsingleobject等待的都是可等待对象),这个header最后一个字段里面有一个双向链表指向这个事件的Kwait_block这个结构体,同时这个结构体会挂在正在等待的线程的KWAIT_BLOCK这个字段上,我们可以通过Kwait_block的thread字段得到是哪个线程在等待这个事件。

typedef struct _KEVENT {
    DISPATCHER_HEADER Header;
} KEVENT, *PKEVENT, *PRKEVENT;

typedef struct _DISPATCHER_HEADER {
    union {
        union {
            volatile LONG Lock;
            LONG LockNV;
        } DUMMYUNIONNAME;

        struct {                            // Events, Semaphores, Gates, etc.
            UCHAR Type;                     // All (accessible via KOBJECT_TYPE)
            UCHAR Signalling;
            UCHAR Size;
            UCHAR Reserved1;
        } DUMMYSTRUCTNAME;

        struct {                            // Timer
            UCHAR TimerType;
            union {
                UCHAR TimerControlFlags;
                struct {
                    UCHAR Absolute : 1;
                    UCHAR Wake : 1;
                    UCHAR EncodedTolerableDelay : TIMER_TOLERABLE_DELAY_BITS;
                } DUMMYSTRUCTNAME;
            };

            UCHAR Hand;
            union {
                UCHAR TimerMiscFlags;
                struct {

#if !defined(KENCODED_TIMER_PROCESSOR)

                    UCHAR Index : TIMER_EXPIRED_INDEX_BITS;

#else

                    UCHAR Index : 1;
                    UCHAR Processor : TIMER_PROCESSOR_INDEX_BITS;

#endif

                    UCHAR Inserted : 1;
                    volatile UCHAR Expired : 1;
                } DUMMYSTRUCTNAME;
            } DUMMYUNIONNAME;
        } DUMMYSTRUCTNAME2;

        struct {                            // Timer2
            UCHAR Timer2Type;
            union {
                UCHAR Timer2Flags;
                struct {
                    UCHAR Timer2Inserted : 1;
                    UCHAR Timer2Expiring : 1;
                    UCHAR Timer2CancelPending : 1;
                    UCHAR Timer2SetPending : 1;
                    UCHAR Timer2Running : 1;
                    UCHAR Timer2Disabled : 1;
                    UCHAR Timer2ReservedFlags : 2;
                } DUMMYSTRUCTNAME;
            } DUMMYUNIONNAME;

            UCHAR Timer2ComponentId;
            UCHAR Timer2RelativeId;
        } DUMMYSTRUCTNAME3;

        struct {                            // Queue
            UCHAR QueueType;
            union {
                UCHAR QueueControlFlags;
                struct {
                    UCHAR Abandoned : 1;
                    UCHAR DisableIncrement : 1;
                    UCHAR QueueReservedControlFlags : 6;
                } DUMMYSTRUCTNAME;
            } DUMMYUNIONNAME;

            UCHAR QueueSize;
            UCHAR QueueReserved;
        } DUMMYSTRUCTNAME4;

        struct {                            // Thread
            UCHAR ThreadType;
            UCHAR ThreadReserved;

            union {
                UCHAR ThreadControlFlags;
                struct {
                    UCHAR CycleProfiling : 1;
                    UCHAR CounterProfiling : 1;
                    UCHAR GroupScheduling : 1;
                    UCHAR AffinitySet : 1;
                    UCHAR Tagged : 1;
                    UCHAR EnergyProfiling: 1;
                    UCHAR SchedulerAssist: 1;

#if !defined(_X86_)

                    UCHAR ThreadReservedControlFlags : 1;

#else

                    UCHAR Instrumented : 1;

#endif

                } DUMMYSTRUCTNAME;
            } DUMMYUNIONNAME;

            union {
                UCHAR DebugActive;

#if !defined(_X86_)

                struct {
                    BOOLEAN ActiveDR7 : 1;
                    BOOLEAN Instrumented : 1;
                    BOOLEAN Minimal : 1;
                    BOOLEAN Reserved4 : 3;
                    BOOLEAN UmsScheduled : 1;
                    BOOLEAN UmsPrimary : 1;
                } DUMMYSTRUCTNAME;

#endif

            } DUMMYUNIONNAME2;
        } DUMMYSTRUCTNAME5;

        struct {                         // Mutant
            UCHAR MutantType;
            UCHAR MutantSize;
            BOOLEAN DpcActive;
            UCHAR MutantReserved;
        } DUMMYSTRUCTNAME6;
    } DUMMYUNIONNAME;

    LONG SignalState;                   // Object lock
    LIST_ENTRY WaitListHead;            // Object lock
} DISPATCHER_HEADER, *PDISPATCHER_HEADER;

typedef struct _LIST_ENTRY {
   struct _LIST_ENTRY *Flink;
   struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

基本了解要干什么之后,分析一下为什么会出现这个问题

看一下_KWAIT_BLOCK在ddk 7.1的定义,通常为了兼容都会选择比较低的版本。

typedef struct _KWAIT_BLOCK
{
     LIST_ENTRY WaitListEntry;
     PKTHREAD Thread;
     PVOID Object;
     PKWAIT_BLOCK NextWaitBlock;
     WORD WaitKey;
     UCHAR WaitType;
     UCHAR SpareByte;
} KWAIT_BLOCK, *PKWAIT_BLOCK;

可以看到如果是x64模式下+0x10的位置就是线程结构体的偏移;但是打开最新的wdk可以看到这个结构体发生了变化。

typedef struct _KWAIT_BLOCK {
    LIST_ENTRY WaitListEntry;
    UCHAR WaitType;
    volatile UCHAR BlockState;
    USHORT WaitKey;

#if defined(_WIN64)

    LONG SpareLong;

#endif

    union {
        struct _KTHREAD *Thread;
        struct _KQUEUE *NotificationQueue;
    };

    PVOID Object;
    PVOID SparePtr;

} KWAIT_BLOCK, *PKWAIT_BLOCK, *PRKWAIT_BLOCK;

可以看到在原来的基础上多了一个字段,所以导致+0x10的位置不在是线程结构体了。

最后在网上找到了对比图在win7 sp1之后就发生了变化,对应版本就是nt6.2开始,也就是win8

 

 
被遗弃的庸才
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE格式----目录----导入表
一个热爱逆向,喜爱学习、分享的猿。
01-21 479
导入模块数组 导入表是一个IMAGE_IMPORT_DESCRIPTOR数组, 长度是14h,并且以14h字节的“0”作为数组结尾。每个模块对应一个IMAGE_IMPORT_DESCRIPTOR结构。( WinNt.h)。 struct _IMAGE_IMPORT_DESCRIPTOR { +0h union { DWORD Characteristics; DWORD OriginalFirstThunk; //IMAGE_THUNK_DA
PE 视频学习笔记
Oops-re的博客
12-20 393
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件 而 PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
线程等待与唤醒 以及用到的数据结构
Harlan的博客
09-01 419
_KTHREAD + 0x5c的结构 kd> dt _KWAIT_BLOCK nt!_KWAIT_BLOCK +0x000 WaitListEntry : _LIST_ENTRY +0x008 Thread : Ptr32 _KTHREAD //指向_KTHREAD +0x00c Object : Ptr32 Void //表示下面其中任意一个对象的指针,如创建的是事件等待对象那么...
MASM32连接程序error A2006: undefined symbol : u
Purpleendurer@CSDN
11-27 1420
MASM32中的SYSTEM_INFO结构定义代码中省略了微软官网其中的DUMMYUNIONNAME联合体和DUMMYSTRUCTNAME结构体,难怪使用.DUMMYUNIONNAME.DUMMYSTRUCTNAME.wProcessorArchitecture来访问在连接会出错,奇怪的是出错信息里没有提示DUMMYUNIONNAME.DUMMYSTRUCTNAME未定义,而是莫明奇妙的u。SYSTEM_INFO中的wProcessorArchitecture存储了已安装操作系统的处理器体系结构。
Windows API——SendInput总结(模拟键盘鼠标动作)
热门推荐
weixin_62972527的博客
12-19 1万+
SendInput()函数用于合成键盘事件和鼠标事件,用来模拟鼠标或者键盘操作。
CTF-Writeup-KWAIT:撰写beberapa Capture国旗,并从Keamanan网站和Aplikasi部门获取技术信息-ITS
03-15
Dokumentasi CTF-kodokbertelur问题清单UTCTF 2021 I.初学者 二。 法证三, 网页得分加班DvCTF 2021 I.斯蒂加二。 加密货币
西工大计算机操作系统课程设计实验报告bh05xh5.doc
07-08
_KWAIT_BLOCK [WaitBlockList地址]`命令查看等待块,遍历整个等待队列,理解其循环队列的特性。 **二、分析同步对象等待线程** - 查看特定同步对象等待的线程,首先定位到该对象的`DispatcherHeader`结构。 - ...
西工大计算机操作系统课程设计实验报告.doc
06-11
_kwait_block"命令可以深入到每个等待块,查看线程等待的具体对象。 5. 按照"NextWaitBlock"指针,我们可以遍历整个等待队列,发现这是一个循环队列,意味着线程可以在这个队列中按顺序等待多个同步对象。 此外,...
教案操作系统实验报告知识.pdf
10-06
等待队列是循环结构,由`WaitBlockList`表示,每个`_kwait_block`结构包含指向下一个等待对象的指针。同步对象如信号量、事件等,用于控制线程的同步和互斥。 5. **分析等待队列**:通过`!process`和`dt nt!_kwait_...
操作系统实验报告四.pdf
10-08
process"命令查找线程遇到的困难,但通过同学的帮助和进一步的学习,这些问题得到了解决,也增强了对WinDbg使用的熟练程度。 这个实验报告详细揭示了操作系统中线程同步和等待队列的内部运作,以及WinDbg如何作为...
35 进程与线程之线程结构体
qq_18059143的博客
11-29 620
上节课我们说了EPROCESS,这次我们讲讲线程结构体ETHREAD 使用dt _ETHREAD查看线程结构体内容 dt _ETHREAD ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime :...
Matlab|Simulink打开mdl/slx等文件报错:lnvalid block diagram name supplied. Valid block diagram names ...
Ezekiel_Mok的博客
05-25 1万+
Matlab|Simulink打开mdl/slx等文件报错: lnvalid block diagram name supplied. Valid block diagram names are thesame as valid MATLAB variable names. Type help isvarname" for moreinformation.
ubuntu Error 24 : Write error : cannot write compressed block
huying915的专栏
08-02 2785
ubuntu 卸载linux-image Error 24 : Write error : cannot write compressed block
常见问题解决办法
常胜将军的博客
04-16 2112
1、CentOS7 解决无法挂载NTFS格式的U盘。添加源安装ntfs-3g包,参考https://www.pianshen.com/article/50441198519/
漫谈兼容内核之十五:Windows线程的等待/唤醒机制
周寅的专栏
03-13 1907
 对于任何一个现代的操作系统,进程间通信都是不可或缺的。    共享内存区显然可以用作进程间通信的手段。两个进程把同一组物理内存页面分别映射到各自的用户空间,然后一个进程往里面写,另一个进程就可以读到所写入的内容。所以,共享内存区天然就是一种进程间通信机制。但是这又是很原始的手段,因为这里有个读出方如何知道共享区的内容已经被写入方改变的问题。轮询,或者定期轮询,当然也是个办法,但是一般而言效率毕竟
内核同步对象
09-10 214
转https://blog.csdn.net/lqk1985/article/details/2541867 Windows NT提供了五种内核同步对象(Kernel Dispatcher Object),你可以用它们控制非任意线程(普通线程)的流程。表4-1列出了这些内核同步对象的类型及它们的用途。在任何刻,任何对象都处于两种状态中的一种:信号态或非信号态。有,当...
10.0.18363.535内核结构
做一个快乐学习者
06-23 2109
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip
3.线程等待与唤醒
My classmates
10-26 694
我们在之前的讲解了如何自己实现临界区以及什么是Windows自旋锁,这两种同步方案在线程无法进入临界区都会让当前线程进入等待状态,一种是通过Sleep函数实现的,一种是通过让当前的CPU"空转”实现的,但这两种等待方式都有局限性: 通过Sleep函数进行等待,等待间该如何确定呢? 通过“空转”的方式进行等待,只有等待间很短的情况下才有意义,否则对CPU资源是种浪费。而且自旋锁只能在多核的环...
内核中的同步机制(二)
Returns' Station
05-23 1301
★.线程等待对象 一些对象刻等待的 进程 线程 定器 各种同步对象等等 可被等待的对象,开头都是一个分发器头,这是WRK中的定义,WDK中的定义要更复杂点 typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; 对象类型 union
tomcat 配置开机自启
最新发布
09-27
以上步骤完成后,tomcat就会在系统启动自动启动。你可以使用以下命令来启动、停止和重启tomcat: - 启动tomcat:`sudo /etc/init.d/tomcat start` - 停止tomcat:`sudo /etc/init.d/tomcat stop` - 重启tomcat:`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值