内核篇-----用户APC

最新推荐文章于 2023-05-15 13:56:26 发布
最新推荐文章于 2023-05-15 13:56:26 发布
阅读量1.2k 收藏 1
点赞数 5
分类专栏: winows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45806710/article/details/113762218
版权

用户APC执行过程

1.执行用户APC的堆栈操作
线程从用户层到内核层时,要保留原来的运行环境;
寄存器,栈的位置要切换回内核的堆栈,如果正常返回,恢复堆栈环境即可;但是要是有用户APC要执行的话,线程要提前返回到用户空间执行,而且返回的位置不是线程进入内核时的位置,而是返回到其他位置,每处理一个用户APC都会涉及到内核用户空间再回到内核空间(ZwContinue);
KiIntializeUesrApc函数分析:备份CONTEXT
线程进0环时,原来的运行环境要保存到_Trap_Frame结构体中,如果要提前返回3环中去处理用户APC,就要修改_Trap_Frame结构体;
当处理完用户APC后,又要返回内核APC,这时原来的值怎么确定呢?
这个函数要做的第一家是就是备份:将原来_Trap_Frame的值备份结构体CONTEXT,这个功能由子函数KeContextTromKframes决定;
备用APC队列:
https://editor.csdn.net/md/?articleId=113762206

Aaronpack
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
5.用户APC执行过程
My classmates
10-25 1747
当产生系统调用、中断或者异常,线程在返回用户空间前都会调用, _KiServiceExit函数,在_KiServiceExit会判断是否有要执行的用户APC,如果有则调用KiDeliverApc函数(第一个参数为1)进行处理。 执行用户APC时的堆栈操作 处理用户APC要比内核APC复杂的多,因为,用户APC函数要在用户空间执行的,这里涉及到大量换栈的操作: 当线程从用户层进入内核层时,要保留原来...
内核APC&用户APC详解
hongduilanjun的博客
09-14 849
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC内核APC的时候存储的是真正的APC地址,当APC用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
windows内核用户APC执行流程图(KiInitializeUserApc
windows小菜鸡的博客
12-02 413
用户层注入:(4)APC注入
weixin_43972499的博客
03-14 391
目录理解APC机制关键函数注入过程参考代码 理解APC机制   以ReadFile函数为例,当我们在Ring3层调用该函数,会进一步调用Ntdll.dll的NtReadFile/ZwReadFile函数,然后函数进入内核层,调用Ntoskrnl.exe中的NtReadFile函数,这时,NtReadFile函数会创建一个IRP_MJ_READ类型的IRP,并将请求发送到对应的设备上,设备再根据IRP的类型调用对应的派遣函数。派遣函数在完成操作后,会调用IoCompleteRequest将IRP请求结束,并返
windows内核内核APC执行过程(KiDeliverApc
windows小菜鸡的博客
12-01 379
Windows APC学习笔记(二)—— 挂入过程&执行过程
qq_41988448的博客
02-29 1261
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
RISC-V Linux 内核剖析
06-23
致力于剖析 Linux 内核的 RISC-V 架构相关支持并开展相应的开发、移植和 Upstream 工作
Linux-2.6.11内核源码
01-22
《Linux内核分析及编程》配套源码,本想设置资源分为0,好像最低只能为2
Python-最小JupyterC内核
08-10
最小Jupyter C内核
anbox-modules:Anbox内核模块
05-06
Anbox内核模块该存储库包含运行Anbox Android容器运行时所需的内核模块。 它们从原始的Anbox存储库中分离出来,使打包在各种Linux发行版中变得更加容易。安装说明您的系统上需要有dkms和linux-header。 您可以通过...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2726
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
小Win,点一份APCApc机制详解)(一)
anhkgg的专栏
05-06 4094
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
APC机制详解
鬼手的博客
02-15 6267
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
深入学习APC
求索
05-12 2391
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
01 APC
qq_50242229的博客
05-15 74
线程是不能被杀掉、挂起、恢复的,线程在执行的时候自己占着CPU,别人怎么可能控制它呢?如果想改变一个线程的行为怎么办呢?可以给她提供一个函数,让它自己去调用,这个函数就是APC
4.内核APC执行过程
My classmates
10-24 1771
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 1万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
用户堆栈和系统堆栈的区别
不积跬步无以至千里
02-22 5229
系统栈(也叫核心栈、内核栈)是内存中属于操作系统空间的一块区域,其主要用途为:               (1)保存中断现场,对于嵌套中断,被中断程序的现场信息依次压入系统栈,中断返回时逆序弹出;               (2)保存操作系统子程序间相互调用的参数、返回值、返回点以及子程序(函数)的局部变量。     用户栈是用户进程空间中的一块区域,用于保存用户进程的子程序间相互调用的
Ubuntu-Linux操作系统基础介绍
最新发布
07-12
Shell作为用户内核交互的接口,允许用户输入命令并执行;文件系统则组织磁盘上的文件,Linux支持多种文件系统类型;而应用程序则包含各种实用工具和桌面环境,如X-Window和OpenOffice。 Ubuntu是基于Debian的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aaronpack

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值