Windows APC学习笔记(一)—— APC的本质&备用APC队列

最新推荐文章于 2024-04-28 19:00:00 发布
最新推荐文章于 2024-04-28 19:00:00 发布
阅读量2.8k 收藏 8
点赞数 4
分类专栏: x86内核 文章标签: APC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/103609068
版权

Windows APC学习笔记(一)—— APC的本质&备用APC队列

基础知识

  1. 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人不能控制它
  2. 举个极端的例子:如果不调用API屏蔽中断并保证代码不出现异常,线程将永久占用CPU
  3. 所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”的情况

思考:那如果想改变一个线程的行为该怎么办
答案:可以给他提供一个函数,让它自己去调用:APC(Asyncroneus Procedure Call,异步过程调用)

APC的本质

APC队列

在Windbg中查看
在这里插入图片描述
在这里插入图片描述
ApcListHead

  1. 由两个双向链表组成,共占16个字节
  2. 提供的APC函数可能是用户函数,也可能是系统函数(简单的区分方法就是判断函数地址是否大于0x80000000

Process:指向线程所属或者挂靠进程
KernelApcInProgress:内核Apc是否正在执行
KernelApcPending:是否存在等待状态的内核APC,存在则置1
UserApcPending:是否存在等待状态的用户APC,存在则置1

APC结构

在WinDbg中查看
在这里插入图片描述
NormalRoutine:找到提供的APC函数,并不完全等于APC函数的地址,后续将重点学习

分析 KiServiceExit

在这里插入图片描述

总结

如果我们想要改变一个线程,可以先提供一个APC,然后通过 _KAPC.NormalRoutine 指向我们提供的APC在哪里,再将APC存到 _KTHREAD.ApcState.ApcListHead 的第一个成员中

思考:当前线程什么时候将会执行提供的APC
答案

  1. KiServiceExit 函数(系统调用异常中断返回用户控件的必经之路)
  2. KiDeliverApc 函数(负责执行APC函数)

备用APC队列

描述

  1. _KTHREAD+0x14c 位置处,同样也存在一个 _KAPC_STATE 结构体,叫做 SavedApcState
  2. 线程APC队列中的APC函数都是与进程相关联的,具体点说:A进程的T线程中的所有APC函数,要访问的内存地址都是A进程的
  3. 但线程是可以挂靠到其他的进程:比如A进程的线程T,通过修改Cr3(改为B进程的页目录基址),就可以访问B进程地址空间,即所谓“进程挂靠”
  4. 当T线程挂靠B进程后,APC队列中存储的却仍然是原来的APC。具体点说,比如某个APC函数要读取一个地址为0x12345678的数据,如果此时进行读取,读到的将是B进程的地址空间,这样逻辑就错误了
  5. 为了避免混乱,在T线程挂靠B进程时,会将ApcState中的值暂时存储到SavedApcState中,等回到原进程A时,再将APC队列恢复。
  6. 因此,SavedApcState又称为备用APC队列

挂靠环境下ApcState的意义

在挂靠的环境下,也是可以先线程APC队列插入APC的

A进程的T线程挂靠B进程  A是T的所属进程  B是T的挂靠进程
ApcState    	B进程相关的APC函数     
SavedApcState	A进程相关的APC函数

在正常情况下,当前进程就是所属进程A,如果是挂靠情况下,当前进程就是挂靠进程B

ApcStatePointer

描述:为了操作方便,_KTHREAD 结构体中定义了一个指针数组 ApcStatePointer ,长度为2,位于 _KTHREAD+0x138

正常情况下

ApcStatePointer[0] 指向 ApcState
ApcStatePointer[1] 指向 SavedApcState

挂靠情况下

ApcStatePointer[0] 指向 SavedApcState
ApcStatePointer[1] 指向 ApcState

ApcStateIndex

描述ApcStateIndex 用来标识当前线程处于什么状态,位于 _KTHREAD+0x165

0:正常状态
1:挂靠状态

组合寻址

正常情况下,向ApcState队列中插入APC时:

ApcStatePointer[0] 指向 ApcState,此时 ApcStateIndex 的值为 0
ApcStatePointer[ApcStateIndex] 指向 ApcState

挂靠情况下,向ApcState队列中插入APC时:

ApcStatePointer[1] 指向 ApcState,此时 ApcStateIndex 的值为 1
ApcStatePointer[ApcStateIndex] 指向 ApcState

总结

无论什么环境下,ApcStatePointer[ApcStateIndex] 指向的都是 ApcState
ApcState 总是表示线程当前使用的apc状态

ApcQueueable

描述

  1. 位于 _KTHREAD+0x166,表示是否可以向线程的APC队列中插入APC
  2. 当线程正在执行退出的代码时,会将这个值设置为0 ,如果此时执行插入APC的代码(KeInsertQueueApc),在插入函数中会判断这个值的状态,如果为0,则插入失败
lzyddf
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1711
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
漫谈兼容内核之十二: WindowsAPC机制(毛德操)
vbsourcecode的专栏
02-07 2335
前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了WindowsAPC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,WindowsAPC机制相当于Linux的Signal机制,
Windows 动态注入(远程线程、消息钩子、APC
最新发布
wangluoanquan111的博客
04-28 987
因此我们只需要在注射器程序中获取LoadLibraryA()的地址,令创建的远程线程执行LoadLibraryA(),传入参数testDLL.dll的路径,即可实现远程线程DLL注入。消息钩子注入原理是利用Windows提供的**SetWindowsHookEx()**函数,它可以拦截进程的消息到指定的DLL中导出的函数,目标进程就会自动加载我们指定的DLL,利用这个特性可以实现消息钩子注入。)都是没有问题的,如果使用其他dll库的函数可以用kernel32.dll导出函数**LoadLibraryA()
Windows11_22H2下的APC机制分析
lkylky123789的博客
01-04 1009
APC机制分析
springboot整合rabbitmq的发布确认,消费者手动返回ack,设置备用队列,以及面试题:rabbitmq确保消息不丢失
qq_26112725的博客
02-28 3420
rabbitmq的发布确认方式,可以有效的保证我们的数据不丢失。消息正常发送的流程是:生产者发送消息到交换机,然后交换机通过路由键把消息发送给对应的队列,然后消费者监听队列消费消息但是如果生产者发送的消息,交换机收不到呢,又或者交换机通过路由键给对应的队列发消息时,路由键不存在呢,这些就是消息发布确认所要解决的问题# 确认消息已发送到交换机(Exchange)这个意思是开启confirm模式,这样的话,当生产者发送消息的时候,无论交换机是否收到,都会触发回调方法。
windows内核情景分析 --APC
maomao171314的专栏
04-04 2078
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
APC机制详解
鬼手的博客
02-15 6316
文章目录APC本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
小Win,点一份APCApc机制详解)(一)
anhkgg的专栏
05-06 4095
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
Apc.rar_APC_windows APC
09-23
**异步过程调用(Asynchronous Procedure Calls, APC)**是Windows操作系统中的一种核心机制,用于在执行上下文之间传递控制,特别是在线程之间。APC主要用于实现非阻塞I/O操作,提高系统的并发性能。本文档《Apc.rar_...
apc_inject.rar_APC_APC inject_inject
09-23
标题 "apc_inject.rar_APC_APC inject_inject" 提到的是一个关于APC(Asynchronous Procedure Call)注入技术的文件包。APC注入通常指的是在用户模式进程中注入shellcode,通过Ring 0级别的权限执行,这涉及到操作...
APC.rar_APC_APC MIB_apc ups mib
09-22
标题中的"APC.rar_APC_APC MIB_apc ups mib"暗示了这是一个与APC(美国电力转换公司)的UPS(不间断电源)相关的MIB(管理信息库)文件。MIB是网络管理中一个重要的概念,它定义了网络设备(如路由器、交换机或UPS)...
Windows的进程创建和映像装入
实践是检验真理的唯一标准&贵在坚持
04-25 908
关于Windows的进程创建和映像装入的过程,“Microsoft Windows Internals 4e”一书的第六章中有颇为详细的说明。本文就以此为依据,夹译、夹叙、夹议地作一介绍。书中说,创建进程的过程分成六个阶段,发生于操作系统的三个部分中,那就是:Windows客户端即某个应用进程的包括Kernel32.dll在内的动态连接库,Windows的“执行体”、即内核(确切地说是内核的上层)
Windows APC学习笔记(二)—— 挂入过程&执行过程
qq_41988448的博客
02-29 1267
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
Windows上安装APC
小迷童
12-07 554
心血来潮去翻Fenng以前整理出来的大型网站们批露的架构方面的信息,看到的都是很典型的,基于ROR的财帮子(不晓得现在JavaEye流量大还是财帮子大),基于.net的“PlentyOfFish”,深藏不露的豆瓣以及非常平民化的facebook(用的是PHP+MySQL)。有点纳闷,这些网站怎么没一个用java的,虽然说是“Architecture Scale”,但看起来java确实不受待见阿
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4388
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行的
2.备用APC队列
My classmates
10-23 312
如果想让线程做什么事情,就给它的APC队列里面挂一个APC。 kd> dt _kthread nt!_KTHREAD ... +0x034 ApcState : _KAPC_STATE//APC ... +0x138 ApcStatePointer : [2] Ptr32 _KAPC_STATE//APC指针 ... +0x14c SavedApcState : _K...
RabbitMQ备用交换机和死信队列设置出现type 'longstr' but current is none
ystyaoshengting的专栏
04-02 9416
AlternateExchange是RabbitMQ中自定义的备用交换机的名称 Channel shutdown: channel error; protocol method: #method<channel.close>(reply-code=406, reply-text=PRECONDITION_FAILED - inequivalent arg 'alternate-e...
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 I/O、线程池等。 在 Windows 中,每个线程都有一个 APC 队列,该队列中存储了需要在该线程上异步执行的函数。当一个线程进入 Alertable 状态时(例如调用 Sleep、WaitForSingleObject 等函数),它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 APC 机制的具体原理如下: 1. 创建 APC 对象 首先,创建一个 APC 对象,该对象包含要在目标线程上执行的函数和参数。 2. 将 APC 对象插入到目标线程的 APC 队列 使用 QueueUserAPC 函数将 APC 对象插入到目标线程的 APC 队列中。当目标线程进入 Alertable 状态时,它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 3. 触发目标线程进入 Alertable 状态 为了让目标线程进入 Alertable 状态,可以使用 Sleep、WaitForSingleObject 等函数来实现。当目标线程进入 Alertable 状态时,它会检查自己的 APC 队列中是否有待处理的 APC,如果有,则会立即执行 APC 中指定的函数。 总之,APC 机制是 Windows 操作系统中非常重要的一部分,它提供了一种有效的异步过程调用机制,可以在不阻塞目标线程的情况下异步执行指定的函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值