64位系统的KPCR结构

最新推荐文章于 2023-10-07 20:57:19 发布
最新推荐文章于 2023-10-07 20:57:19 发布
阅读量433 收藏
点赞数
分类专栏: X64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/113812958
版权

查看CPU有多少核

1: kd> dd KeNumberProcessors
fffff807`33979384  00000004 01000000 000a3008 884b0640
fffff807`33979394  ffffbd84 0002625a 00002120 884632c0
fffff807`339793a4  ffffbd84 00000000 00000000 884ea220
fffff807`339793b4  ffffbd84 884b1ae0 ffffbd84 00000000
fffff807`339793c4  00000100 884eb560 ffffbd84 bd9bbdff
fffff807`339793d4  0000246f 00000000 00000000 0002625a
fffff807`339793e4  00001ed6 00010000 00000004 33407000
fffff807`339793f4  fffff807 00000000 00000000 00002307

查看所有的_KPRCB
1: kd> dq KiProcessorBlock
fffff807`3397aac0  fffff807`323ad180 ffff9681`faca3180
fffff807`3397aad0  ffff9681`fad4f180 ffff9681`fa7a0180
fffff807`3397aae0  00000000`00000000 00000000`00000000
fffff807`3397aaf0  00000000`00000000 00000000`00000000
fffff807`3397ab00  00000000`00000000 00000000`00000000
fffff807`3397ab10  00000000`00000000 00000000`00000000
fffff807`3397ab20  00000000`00000000 00000000`00000000
fffff807`3397ab30  00000000`00000000 00000000`00000000

从结构可以看出KPRCB-0x180 就是结构KPCR的起始地址了

nt!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x000 GdtBase          : 0x00000840`00010001 _KGDTENTRY64
   +0x008 TssBase          : (null) 
   +0x010 UserRsp          : 0
   +0x018 Self             : (null) 
   +0x020 CurrentPrcb      : (null) 
   +0x028 LockArray        : (null) 
   +0x030 Used_Self        : (null) 
   +0x038 IdtBase          : (null) 
   +0x040 Unused           : [2] 0
   +0x050 Irql             : 0 ''
   +0x051 SecondLevelCacheAssociativity : 0 ''
   +0x052 ObsoleteNumber   : 0 ''
   +0x053 Fill0            : 0 ''
   +0x054 Unused0          : [3] 0
   +0x060 MajorVersion     : 0x9000
   +0x062 MinorVersion     : 0x7de2
   +0x064 StallScaleFactor : 0
   +0x068 Unused1          : [3] 0x0007ef40`00000000 Void
   +0x080 KernelReserved   : [15] 0
   +0x0bc SecondLevelCacheSize : 0
   +0x0c0 HalReserved      : [16] 0
   +0x100 Unused2          : 0
   +0x108 KdVersionBlock   : (null) 
   +0x110 Unused3          : (null) 
   +0x118 PcrAlign1        : [24] 0
   +0x180 Prcb             : _KPRCB
qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win7x64下的kpcr结构和kprcb结构
baidu_36226689的博客
04-12 3011
//翻网页看全是x86的,然后我就自己来找x64的 //下面都是windbg调的 nt!_KPCR    +0x000 NtTib            : _NT_TIB    +0x000 GdtBase          : Ptr64 _KGDTENTRY64    +0x008 TssBase          : Ptr64 _KTSS64    +0x010 Us
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4703
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
KPCR结构
08-04 1924
@0环的ETHREAD结构体是记录线程的相关信息,EPROCESS结构体是记录进程相关的信息,同样我们每个CPU也有一个结构体来记录每个CPU的状态这个结构体就是KPCR结构体KPCR结构体如下下面该结构体中几个主要的成员, kd> dt _KPCR nt!_KPCR   +0x000 NtTib            : _NT_TIB   +0x01c SelfPcr          ...
KPCR
For Geek
05-06 453
ring3下,fs寄存器的指向TEB,ring0下,fs寄存器指向KPCR,KPCR即Kernel Processor Control Region,处理器控制区域,因为Windows是需要支持多个CPU的,所以为每一个CPU在内核空间安排一个KPCR的结构。 KPCR结构如下: nt!_KPCR +0x000 NtTib : _NT_TIB +0x01c Sel...
想请问下大神这个蓝屏是怎么原因
V0o54bra的博客
08-22 188
Use!---------16: kd>!analyze -vArguments:
一个蓝屏的分析-The caller is unlocking a pageable section that is not currently locked.
T76230169的专栏
04-06 1217
同事,给了一个蓝屏文件,说是不知道操作什么了引起了系统蓝屏,使用自定义分析可看到 MEMORY_MANAGEMENT (1a) # Any other values for parameter 1 must be individually examined. Arguments: Arg1: 0000000000001010, The caller is unlocking a pageable section that is not currently locked. (This sectio
x64内核实验7-线程
最新发布
qq_43147121的博客
10-07 984
ETHREAD和KPCR都有点大就不全贴出来了只说一些常用的字段,一般熟悉了内核机制的话看名字很多都能猜出来跟之前的进程结构体一样是可等待对象都有的头部结构体KTHREAD + 0x018 VOID* SListFaultAddress 上一次用户模式互锁单链表POP操作发生页面错误的地址。内核栈的原始栈位置(高地址)内核栈低地址内核栈的栈基址内核调用栈开始位置KTHREAD + 0x0C8 INT64 WaitStatus 等待的结果状态。
读书笔记_windows内核调试_part2_ 多核启动过程
wodamazi
10-11 150
多核启动过程 下面我们看多核处理器的启动过程,在part 1中介绍过每个CPU都会执行KiInitializeKernel函数,但只有第一个CPU才执行其中的所有初始化工作,包括全局的初始化,其他CPU只执行CPU的相关的部分。0号CPU才调用和执行KiInitSystem,初始化Idle进程的工作也只有0号CPU执行,因为只需要一个Idle进程。但是由于每个CPU都需要一个Idle线程,因此每...
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
VT_X64(VT 支持x64的源码).rar_64位进程保护_VT_Vt进程隐藏_vt源码_进程保护
07-15
开启VT保护模式,保护自己的进程不被其它进程访问
inline hook 多核安全相关问题随记。。。
创造神话,实现梦想!
02-18 2832
Intel CPU相关指令: LOCK 这是一个指令前缀,在所对应的指令操作期间使此指令的目标操作数指定的存储区域锁定,以得到保护。 XADD 先交换两个操作数的值,再进行算术加法操作。多处理器安全,在80486及以上CPU中支持。 CMPXCHG 比较交换指令,第一操作数先和AL/AX/EAX比较,如果相等ZF置1,第二操作数赋给第一操作数,否则ZF清0,第一操作数赋给AL/AX/E
CPU与IRP的一些相关函数
stecdeng的专栏
05-23 950
VOID KiAdjustIrpCredits (     VOID     )其中        Number = KeNumberProcessors;Prcb = KiProcessorBlock[Index]; 多核情况下调整每个CPU的IRP对象配额。在while (Index LookasideIrpFloat, Adjust),不过最后一个CPU为什么是 Interlocke
Windows NT引导过程源代码分析(一)
hnzwx888的专栏
06-20 1634
转载自:https://blog.csdn.net/cosmoslife/article/details/7855425 Windows引导过程 Windows内核中的各个组件和各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导时完成的。当用户打开计算机的电源开关时,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS代码首先获得控制,它执行必要的硬件检测工作,并允...
KPCR学习
kernweak的博客
09-03 1796
KPCR:CPU控制区(Processor Control Region) KPCR介绍 KPCR相当于一个副本,存储着线程相关的一些重要信息,这样CPU在处理时就不用查线程了。 1) 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR结构体(一个核一个) 3) KPCR中存储了CPU本身要用的一些重要数据:GDT、...
深入理解Windows X64调试
weixin_30686845的博客
08-28 867
随着64位操作系统的普及,都开始大力进军x64X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享。 本文属于译文,英文原文链接:http://www.codemachine.com/article_x64deepdive.html 翻译原文地址:深入Windows X64 调试 在正式开始这...
Windows内核基础之KPCR
tutucoo
12-07 1106
1.概述 KPCR是CPU的一个结构体,它就像EPROCESS对于进程,ETHREAD对于线程,KPCR对于CPU是非常重要的,它的全称是Processor Control Region。 fs:[0]在3环时指向TEB,在0环时指向KPCR,每一个CPU核心都对应着一个KPCR,KPCR存储了CPU需要使用的一些重要信息,比如GDT\IDT以及线程相关的信息 2.KPCR结构体 nt!_KPCR...
blue-pill代码解读
inquisiter
09-21 1028
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
IDT检测 多CPU
坦然
09-06 1494
#define MAKELONG(a, b) ((unsigned long) (((unsigned short) (a)) | ((unsigned long) ((unsigned short) (b)))            VOID ShowIDTinfo(                      IN struct _KDPC  *Dpc,               
PEB和SPEB的推导
05-25
KPCR是每个进程或系统进程的一个数据结构,用于存储与进程相关的系统级别信息。KPCR中的一个成员NtTib是线程信息块(Thread Information Block),存储了与线程相关的信息。 在NtTib中,有一个成员Peb,指向PEB。而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值