APC的本质

最新推荐文章于 2021-03-12 15:31:38 发布
最新推荐文章于 2021-03-12 15:31:38 发布
阅读量380 收藏
点赞数
分类专栏: # APC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/91349844
版权

什么是APC

如果想改变一个线程的行为,可以给它提供一个函数,让他自己去调用,这个函数就是APC(Asyncroneus Procedure Call),即异步过程调用

谁插入的APC
一定是由别的线程插入。给别的线程插入APC相当于给它写一封信,程序会每隔一段时间去信箱里面检查有没有信。

插入到哪里
_KTHREAD +0x34 有两个APC队列 用户APC和内核APC
谁执行的APC
插入的目标线程执行的APC
什么时候执行的APC
内核APC在线程切换的时候执行
用户APC在KiServiceExit的时候执行

在这里插入图片描述

Apc队列 _KAPC_STATE

+dt _KAPC_STATE
+0 ApcLIstHead // +0 内核APC队列 +8用户Apc 队列 记录的是所有APC结构体(初始化APC时,申请了一块内存来保存APC信息,链表记录的就是这个结构体+c的地址) 。
+0x10 Process //线程所属或者所挂靠的进程
+0x14 KernelApcInProcess //内核APC是否正在执行
+0x15 KernelApcInPending //是否有正在等待执行的内核APC
+0x16 UserApcPending //是否有正在等待执行的用户APC

_KAPC结构体

typedef struct _KAPC {
    CSHORT Type;    //apc类型为0x12
    CSHORT Size;	//结构体大小0x30
    ULONG Spare0;	//未使用
    PVOID Thread;	//PKTHREAD 目标线程
    LIST_ENTRY ApcListEntry; //LIST_ENTRY 
    PKKERNEL_ROUTINE KernelRoutine;  //指向函数IopDeallocateApc (调用ExFreePoolWithTag释放APC)
    PKRUNDOWN_ROUTINE RundownRoutine;  
    PKNORMAL_ROUTINE NormalRoutine;   //用户APC总入口 全局变量KeUserApcDispatcher的值 指向KiUserApcDispatcher函数   或者真正内核apc函数
    PVOID NormalContext;    //内核APC :NULL 用户APC :真正的apc函数
    PVOID SystemArgument1;	//QueueUserApc的参数三
    PVOID SystemArgument2;  //返回值
    CCHAR ApcStateIndex;	//挂哪一个队列,0 1 2 3 自己用的时候使用0或者1   0挂亲爹  1挂养父
    KPROCESSOR_MODE ApcMode; //内核APC 0 用户APC 1
    BOOLEAN Inserted;		 // 表示本APC是否已挂入队列 挂入前 0 挂入后 1
} KAPC, *PKAPC, *RESTRICTED_POINTER PRKAPC;

APC队列结构体的查找

链表里面的值(_KAPC)取出来要-0c才是结构体的首地址(链表挂在腰上)

在这里插入图片描述

练习:

1、自己编写代码向某个线程插入一个用户APC

2、分析TerminateThread/SuspendThread是如何实现的(从3环开始分析)

3、自己分析APC的插入过程

qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KTHREAD 结构体属性介绍
hambaga的博客
03-10 1749
typedef struct _KTHREAD { // // The dispatcher header and mutant listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; // KTHREAD 是可等待对象,线程结束时有信号 // 此链表存储了属于该线程的所有 mutant(对应3环的 mutex) // 一旦该线程获得了 mu
Windows APC学习笔记(一)—— APC本质&备用APC队列
qq_41988448的博客
01-12 2836
Windows APC机制学习笔记(一)—— APC本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
windows内核情景分析 --APC
maomao171314的专栏
04-04 2074
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1187
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
关于APC机制
sxr__nc的博客
03-12 1083
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《Windows的APC机制》受益匪浅,总结一点自己关于APC的思路: 之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
贴装APC技术简介
01-20
APC(Advanced Process Control)技术是一种先进组装工艺控制技术,其基本思路是把焊膏涂敷、元件贴装和回流焊接工艺作为一个整体来考虑,以达到组装效果。  元件贴装中对位基准的优化,是APC应用实例之一。如图所...
先进过程控制(APC)
05-08
"先进过程控制(APC)" 先进过程控制(APC)是指对那些不同于常规单回路控制,并具有比常规 PID 控制更好的控制效果的控制策略的统称。APC 的应用可以带来显著的经济效益,在石化工业中,一个先进控制项目的年经济...
APC资源-R语言.rar
06-14
APC资源-R语言.rar
Apc.rar_APC_windows APC
09-23
windows平台异步过程调用很好的一份说明使用文档。详细的介绍了APC的机制,有了解APC机制的可以参考
谈谈对APC的一点理解
乐朝夕与之共
07-10 2726
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
小Win,点一份APCApc机制详解)(一)
anhkgg的专栏
05-06 4094
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
1.APC机制
My classmates
10-22 424
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死",一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC (Asyncrone...
Windows APC机制(一)
热门推荐
井底之蛙
06-23 1万+
      异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理器,它已经结束处理一个异步I/
漫谈兼容内核之十二: Windows的APC机制(毛德操)
vbsourcecode的专栏
02-07 2332
前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机制,
APC机制详解
鬼手的博客
02-15 6261
文章目录APC本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
APC的内部实现
求索
08-26 3364
APC的内部实现 今天心情如同死去的病人的心电图一般,直线一条。所以没啥好说的。 天津泰达拿了亚军,还是挺给力的,下赛季去球场看亚冠,多少年没去现场看球了,上次去还是泰达球场的落成仪式,泰达2:1墨尔本,虽然中国足球没什么好看的,但是球场是一个比较便宜
深入学习APC
求索
05-12 2391
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
#pragma INITCODE 是什么意思
weixin_30367543的博客
09-23 251
#pragma INITCODE //将driverEntry设在分页内存中,当驱动加载成功,此函数在内存中移除。 PAGED_CODE();//当例程所在的中断请求级超过APC_LEVEL时,会产生一个断言,断言会使程序终止。 转载于:https://www.cnblogs.com/chanchaw/archive/2011/09/23/2185856.html...
Windows APC原理
最新发布
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值