内核篇-----备用APC

最新推荐文章于 2022-12-05 20:44:35 发布
最新推荐文章于 2022-12-05 20:44:35 发布
阅读量1k 收藏 1
点赞数 5
分类专栏: winows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45806710/article/details/113762206
版权

备用APC队列

Kd>dt _KTHREAD
Nt!_KTHREAD
+0x034 ApcState		:_KAPC_STATE
+0x138 ApcStatePointer:[2]Ptr32_KAPC_STATE
+0x14c SavedApcState	:_KAPC_STATE
+0x165 ApcStateIndex	:UChar
+0x166 ApcQueueable	:UChar
..

1.SavedApcState的意义:
A进程中的T线程中的所有APC函数,要访问的内存地址都是A进程的;
但是线程可以挂靠到其他进程,通过修改Cr3(该位B进程的页目录基址),就可以访问B进程地址空间,就是进程挂靠;
当T线程挂靠到B进程时,现在的APC队列任然是原来的APC,现在读取到的是B进程的地址空间;
为了避免麻烦,但T线程挂靠到B进程时,会将ApcState中的值暂时存储到SavedApcState中,等到放回A进程时,在恢复APC队列;
2.挂靠环境下ApcState的意义:在挂靠环境下插入Apc线程,插入位置还是ApcState,因为原来的APC已经备份到SavedApcState里了
3. ApcStatePoirter
这个函数是一个指针数组,长度为2;为了寻址方便;
正常情况下:

ApcStatePoirter[0]ApcState
ApcStatePoirter[1]SavedApcState

挂靠情况下:

ApcStatePoirter[0] SavedApcState
ApcStatePoirter [1] ApcState

4. ApcStateInder
用来标识当前线程处于什么状态
0 正常状态 1 挂靠状态
5.ApcStatePoired和ApcStateInder组合寻址
正常情况下,向ApcState里插入Apc
ApcStatePointer[0]ApcState ApcStateInder=0
挂靠情况下,向ApcState插入Apc
ApcStatePointer [1]ApcState ApcStateInder=1
总结
无论什么环境下,ApcStatePointer[ApcStateInder]都指向ApcState,ApcState则总表示线程当前使用的apc状态
6. ApcQueueable
用于表示是否可以向线程的APC队列插入APC
如果当前线程正在执行退出的代码时,会将这个值设置为0;如果执行插入APC代码(KeInserQueueApc),如果值为0,则插入失败;
Alertable属性说明(是否运行被APC吵醒)

kd>dt _KTHREAD
ntdll!_KTHREAD
	+0x164 Alertable	:UCher

当调用普通的SleepEx或者WaitForSingleObjectEx时,是不会修改Alertable的; 只有当Alertable是1时,才能使UserApcPenging=1,在唤醒APC;
那什么时候才会是1呢?
是只有当时用户层导致的等待状态
内核APC
执行点:1,线程切换时; 2,系统调用,中断,或者异常时由0环返回3环时
注2:只有存在用户APC要执行时,才能执行内核APC;
当要执行用户APC时,要先执行内核APC;
KiDeliverApc函数
无论要执行用户APC函数内核APC,都会执行这个函数;
执行流程:

总结:内核APC在线程切换时就会执行,只要插入内核APC就会立即执行;
在执行用户APC之前会先执行内核APC;
内核APC在内核空间执行,不需要换栈;

Aaronpack
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
APC机制详解
鬼手的博客
02-15 6321
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
Windows APC学习笔记(一)—— APC的本质&备用APC队列
qq_41988448的博客
01-12 2854
Windows APC机制学习笔记(一)—— APC的本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
内核-----APC队列介绍
qq_45806710的博客
02-08 1712
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
谈谈对APC的一点理解
乐朝夕与之共
07-10 2732
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
windows内核情景分析 --APC
maomao171314的专栏
04-04 2079
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
RISC-V Linux 内核剖析
最新发布
06-23
**RISC-V Linux 内核剖析** RISC-V(Reduced Instruction Set Computer - Version V)是一种开放源码的指令集架构(ISA),旨在提供高效、模块化和可扩展的计算平台。Linux 内核对 RISC-V 的支持是其向更多硬件平台...
linux-3.10内核源码
03-29
linux内核源码。3.10版本比较难找了,未经过修改,有需要的可以下载,不喜勿喷。
Python-最小JupyterC内核
08-10
最小Jupyter C内核
anbox-modules:Anbox内核模块
05-06
Anbox内核模块该存储库包含运行Anbox Android容器运行时所需的内核模块。 它们从原始的Anbox存储库中分离出来,使打包在各种Linux发行版中变得更加容易。安装说明您的系统上需要有dkms和linux-header。 您可以通过...
小Win,点一份APCApc机制详解)(一)
anhkgg的专栏
05-06 4096
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
深入学习APC
求索
05-12 2396
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1200
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
windows内核内核APC执行过程(KiDeliverApc
windows小菜鸡的博客
12-01 380
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
m0_62783065的博客
12-05 582
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1351
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
Windows APC机制(一)
热门推荐
井底之蛙
06-23 1万+
      异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理器,它已经结束处理一个异步I/
APC异步过程调用
kernweak的博客
09-03 2420
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
Windows 进程APC学习笔记
学习随笔
09-01 2252
学习Windows进程,APC肯定少不了啦。 PS:由于本人才疏智浅,本文仅为个人学习笔记,如有错误,希望大牛不吝赐教。 下面是我学习APC的一点笔记。 1、什么是APC APC就是异步过程调用的所写。据说PE格式DLL映像的装入和动态连接就是由ntdll.dll中的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aaronpack

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值