Windows消息机制学习笔记(四)—— 内核回调机制

已于 2022-11-04 13:42:25 修改
阅读量1.3k 收藏 6
点赞数 1
分类专栏: x86内核 文章标签: Windows 消息机制 内核回调
于 2021-06-24 18:23:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/118190075
版权

Windows消息机制学习笔记(四)—— 内核回调机制

要点回顾

1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息
2)DispatchMessage用于处理其它队列中的消息。

内核调用

描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。

例如:窗口初始化时、窗口创建时、窗口显示时。

目的:使窗口在被初始化、被创建、被显示时,用户能够有机会做一些事情。

实验1:理解内核调用

第一步:编译并运行以下代码

注意:运行前在while(GetMessage(&msg, NULL, 0, 0))这行设置断点。

#include <stdio.h>
#include <windows.h>

#define DPRINTF_BUF_SZ 1024

void OutputDebugStringf(char *fmt, ...)
{
#ifdef _DEBUG
	va_list args;
	char buf[DPRINTF_BUF_SZ];
	
	va_start(args, fmt);
	vsprintf(buf, fmt, args);
	OutputDebugString(buf);
#endif
}

LRESULT CALLBACK WindowProc(
	IN HWND hwnd,
	IN UINT uMsg,
	IN WPARAM wParam,
	IN LPARAM lParam
){

	switch(uMsg)
	{
	case WM_DESTROY:
		{
			ExitProcess(0);
			return 0;
		}
	}

	OutputDebugStringf("消息类型:%x \n", uMsg);

	return DefWindowProc(hwnd, uMsg, wParam, lParam);
}


int APIENTRY WinMain(
	HINSTANCE hInstance,
	HINSTANCE hPrevInstance,
	LPSTR lpCmdLine,
	int nShowCmd
){
	//窗口的类名
	TCHAR className[] = "My First Window";

	//创建一个自己的窗口
	WNDCLASS wndclass = {0};
	wndclass.hbrBackground = (HBRUSH)COLOR_MENU;
	wndclass.lpfnWndProc = WindowProc;
	wndclass.lpszClassName = className;
	wndclass.hInstance = hInstance;

	//注册
	RegisterClass(&wndclass);

	//创建窗口
	HWND hwnd = CreateWindow(
		className,
		TEXT("测试窗口"),
		WS_OVERLAPPEDWINDOW,
		10,
		10,
		600,
		300,
		NULL,
		NULL,
		hInstance,
		NULL);
	
	if(hwnd == NULL)
		return 0;
	
	//显示窗口
	ShowWindow(hwnd, SW_SHOW);
	
	//消息循环
	MSG msg;
	while(GetMessage(&msg, NULL, 0, 0))
	{
		//TranslateMessage(&msg);
		DispatchMessage(&msg);
	}
	
	return 0;
}

运行结果
在这里插入图片描述

第二步:修改窗口过程函数,重新运行

注意:仍然在while(GetMessage(&msg, NULL, 0, 0))这行设置断点。

新窗口过程函数

LRESULT CALLBACK WindowProc(
	IN HWND hwnd,
	IN UINT uMsg,
	IN WPARAM wParam,
	IN LPARAM lParam
){

	switch(uMsg)
	{
	case WM_CREATE:
		{
			MessageBoxA(NULL, "窗口被创建了", "CREATE", MB_OK);
			return 0;
		}
	case WM_DESTROY:
		{
			ExitProcess(0);
			return 0;
		}
	}

	OutputDebugStringf("消息类型:%x \n", uMsg);

	return DefWindowProc(hwnd, uMsg, wParam, lParam);
}

运行结果
在这里插入图片描述
不难发现,程序并未进入消息循环,却调用了窗口过程函数,输出了消息与弹窗,说明消息不是只有当调用GetMessage与DispatchMessage时才处理。

KeUserModeCallback

描述
1)从0环调用3环函数的几种方式

  • APC
  • 异常
  • 内核回调

APC异常回三环的落脚点比较单一,而消息机制需要处理的情况较多,不能使用同一个逻辑进行处理,因此消息机制使用内核回调调用三环函数。

2)回到3环的落脚点

  • APCntdll!KiUserApcDispatcher
  • 异常ntdll!KiUserExceptionDispatcher

3)内核回调在3环的落脚点KeUserModeCallback

PEB+0x2C指向回调函数地址表。

4)凡是有窗口的程序就有可能0环直接调用3环的程序。

声明

NTSTATUS
NTAPI
KeUserModeCallback(
    IN ULONG FunctionID,	//索引,指向三环落脚点
    IN PVOID InputBuffer,	//包含窗口回调函数与相关重要信息
    IN ULONG InputLength,
    OUT PVOID *OutputBuffer,
    OUT PULONG OutputLength
);

FunctionID索引列表

#define USER32_CALLBACK_WINDOWPROC            (0)
#define USER32_CALLBACK_SENDASYNCPROC         (1)
#define USER32_CALLBACK_LOADSYSMENUTEMPLATE   (2)
#define USER32_CALLBACK_LOADDEFAULTCURSORS    (3)
#define USER32_CALLBACK_HOOKPROC              (4)
#define USER32_CALLBACK_EVENTPROC             (5)
#define USER32_CALLBACK_LOADMENU              (6)
#define USER32_CALLBACK_CLIENTTHREADSTARTUP   (7)
#define USER32_CALLBACK_MAXIMUM               (7)

实验2:在OD中查看回调函数地址表

第一步:加载程序

在这里插入图片描述

第二步:在内存中查看TEB

在这里插入图片描述
在这里插入图片描述

第三步:查看PEB数据

PEB位于TIB+0x30位置
在这里插入图片描述在这里插入图片描述

第四步:查看回调地址表

回调地址表位于PEB+0x2C位置
在这里插入图片描述在这里插入图片描述

总结

  1. 不是所有消息都是在进入消息循环后由GetMessageDispatchMessage进行处理的,部分内核代码也能够调用窗口处理函数。
  2. 内核代码通过KeUserModeCallback调用窗口处理函数,由第一个参数FunctionID决定回到三环时的落脚点。
  3. FunctionID的值为回调地址表的索引,回调地址表位于PEB+0x2C位置,每个值为一个函数地址。
认识设备树()——内核对DTB文件的解析
gzxb1995的博客
09-27 5391
目录1 从u-boot传参到__atags_pointer2 内核对设备树中平台信息的处理2.1 machine_desc2.2 源码分析2.2.1 setup_arch2.2.2 setup_machine_fdt2.2.3 of_flat_dt_match_machine3 内核对设备树中运行时配置信息的处理3.1 of_scan_flat_dt3.2 解析/chosen节点3.3 解析根节点的{size,address}-cells属性3.4 解析/memory节点3.5 小结4 内核对设备树中设备信
物联网操作系统学习笔记————事件标志组
xiaobaipyf的博客
09-10 517
概念及其应用 FreeRTOS的事件标志组 概念简单理解就是一个事件标志可以控制多个任务,也可以多个事件标志采用与逻辑控制一个任务,多个事件标志用或逻辑控制一个任务 FreeRTOS事件标志组的介绍 1:FreeRTOS事件标志组是24比特内存空间 2、当任务去创建一个事件标志组的时候,可以和相关bit进行关联。 当等待事件标志组触发时,任务TASK2从运行态变为阻塞态。当任意一个中断或任务进行了一个SET把标志位从零值一之后,就可以让TASK2进行恢复。 工作原理: 事件标志组函数 实验操作: 功能
内核:系统回调1
08-03
x64内核:系统回调有些版本的操作系统没有 PsSetXXXNotifyRoutineEx 版本的函数,但是又需要拦截API思路:拿到相关的结构,改结构里面的字
内核回调
weixin_30794491的博客
10-15 355
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
Windows回调机制
qq_42814021的博客
05-21 1169
Windows系统内核提供了一系列的事件通知(Notify)机制以及回调(Callback)机制
C++Windows编程之回调机制
数据库天地
01-16 165
前面讲到:C++Windows编程之注册窗口类 C++Windows编程之创建窗口C++Windows编程之消息循环和消息结构 前面已经讲过,最基本的Windows应用由两部分组成:入口函数WinMain和窗口处理函数。窗口处理函数的函数名由程序员自己定义。不过,由于它是毁掉函数,因此它的参数和返回值是固定不变的。窗口处理函数作用是接收与该函数有关的消息,并编写相应的代码。回调机制: 窗...
回调函数
mxdxm8899的专栏
12-12 133
 1 什么是回调      软件模块之间总是存在着一定的接口,从调用方式上,可以把他们分为三类:同步调用、回调和异步调用。同步调用是一种阻塞式调用,调用方要等待对方执行完毕才返回, 它是一种单向调用;回调是一种双向调用模式,也就是说,被调用方在接口被调用时也会调用对方的接口;异步调用是一种类似消息或事件的机制,不过它的调用方向刚好相反,接口的服务在收到某种讯息或发生某种事件时,会主动通知客户方...
STM32HAL库学习笔记——中断
weixin_44762233的博客
04-19 2731
中断与HAL库配置 文章目录中断与HAL库配置中断基本知识一、中断是什么?1.中断组成2.NVIC 是嵌套向量中断控制器3.中断程序执行流程外部中断与GPIO输入的区别1.引入库2.读入数据总结 中断基本知识 ` 一、中断是什么? 中断是指当系统程序运行中出现某意外情况时,会暂停当前程序的运行,转而执行需要处理的新程序,完成后再返回原程序继续执行的过程。 1.中断组成 2.NVIC 是嵌套向量中断控制器 3.中断程序执行流程 1.配置中断源,中断优先级 2.使能中断 3.编写中断服务函数 外部中断与G
《Redis核心技术与实战》学习笔记3——高性能IO模型:为什么单线程Redis能那么快?
最新发布
大白的成长之路
08-09 842
上一篇博客讲了一下Redis的数据结构。那么今天,我们来探讨一个很多人都很关心的问题:“为什么单线程的 Redis 能那么快?首先,我要和你厘清一个事实,我们通常说,Redis 是单线程,主要是指 Redis 的网络 IO 和键值对读写是由一个线程来完成的,这也是 Redis 对外提供键值存储服务的主要流程。但 Redis 的其他功能,比如持久化、异步删除、集群数据同步等,其实是由额外的线程执行的。所以,严格来说,Redis 并不是单线程,但是我们一般把 Redis 称为单线程高性能,这样显得“酷”些。
STM32学习笔记9——移植FreeRTOS
楚轩的博客
03-03 513
开发环境 硬件环境:STM32F103C8T6 软件环境:STM32CubeIDE1.4.0 前置条件 准备一个工程 下载FreeRTOS的源码 FreeRTOS移植 1.移植FreeRTOS源码 在工程文件中新建文件夹 —— FreeRTOS(存储FreeRTOS源码) *打开 FreeRTOS 源码文件夹, 将其中的include文件夹复制到刚刚新建的FreeRTOS文件夹中。 然后include同目录下新建一个文件夹——portable 进入portable文件夹,在FreeRTOS源码文件
回调函数 windows系统的消息与事件
09-09
回调函数 windows系统的消息与事件
关于回调函数
gukesdo的专栏
09-07 833
以前对这个概念不理解,以为只有__stdcall类型的函数才是回调函数,今天经师兄一说,然后上网查了一些东西,才发现这只是操作系统的回调函数类型而已,回调函数的概念是很广泛的,觉得下面这篇文章说得很好,转自:http://blog.sina.com.cn/s/blog_43e64
windows内核开发学习笔记二十:补充基本概念的学习——回调函数
jyl_sh的专栏
05-26 1047
windows内核开发学习笔记二十:补充基本概念的学习——回调函数 回调函数由系统调用,所以可以认为它属于 WINDOWS 系统,不要把它当作你的某个类的成员函数,回调函数 是一个程序员不能显式调用的函数;通过将回调函数 的地址传给调用者从而实现调用。回调函数使用是必要的,在我们想通过一个统一接口实现不同的内容,这时用回掉函数非常合适。 比如,我们为几个不同的设备分别写了不同的显示函数: void TVshow(); void ComputerShow(); void NoteBookSh...
NtTraceControl内核回调
如鹿渴慕泉水的专栏
09-11 654
__int64 __fastcall NtTraceControl(unsigned int a1, unsigned int *a2, unsigned int a3, void *a4, unsigned int Length, _DWORD *a6) { unsigned int *v6; // r13 unsigned int v7; // er14 char *v8; // r12 _QWORD *v9; // rsi __int64 v10; // rbx __int64
驱动开发:内核注册并监控对象回调
热门推荐
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
内核进程回调遍历【记录】
WorryFree
05-15 544
通过WinDbg手动进行内核进程回调表遍历【记录】
windows内核开发笔记八:内核开发回调函数基本介绍和基本使用场景
jyl_sh的专栏
12-15 2066
windows内核开发笔记八:内核开发回调函数基本介绍和基本使用场景 1.回调函数基本定义- 函数指针 要理解回调函数,首先要理解函数和函数指针,通俗点儿说,函数指针是一个指向特定函数的指针。函数的类型由其参数及返回类型共同决定,与函数具体名称无关。示例代码如下:int testFun1(int param1,long param2,float param3); //普通函数定义 该函数的类型为int(int,long,float),该类型的函数指针可以定义为如下:int (*pTf)(...
Chapter11-"windows线程池" 之 内核对象触发调用回调函数
iteye_8029的博客
01-26 173
众所周知,一般可以调用WaitForSingleObject、WaitForMultiObject来实现线程同步。但是当多个线程等待同一个内核对象变为触发态时,这并不是一种明智的做法,这样会浪费大量的系统资源。而windows线程池很有效提供系统性能。 利用windows线程池实现,当内核对象变为触发态时,自动调用一个回调函数,一如既往的需要步 创建对应的回调函数,回调函数必须符合...
虚拟机vmware安装windows7
10-08
安装虚拟机VMware并安装Windows 7的步骤如下: 1. 打开VMware软件,点击创建新的虚拟机。 2. 选择自定义选项,点击下一步。 3. 选择稍后安装操作系统,选择客户机操作系统为Microsoft Windows(W),版本选择Windows 7。 4. 设置虚拟机名称和位置。 5. 设置虚拟机的CPU和内存大小。 6. 选择网络类型为桥接。 7. 选择推荐的SCSI控制器和磁盘类型。 8. 创建新磁盘,设置磁盘大小并选择磁盘文件。 9. 点击完成,然后点击编辑虚拟机。 10. 使用ISO文件进行安装,选中ISO文件并启动虚拟机。 11. 按照安装向导的提示,设置语言、接受协议等。 12. 进入自定义(高级)安装选项,按照提示进行安装。 13. 输入用户名和密码,选择是否进行系统更新,设置时区和网络。 14. 完成安装。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值