内核篇-----APC队列介绍

最新推荐文章于 2024-01-04 11:13:31 发布
最新推荐文章于 2024-01-04 11:13:31 发布
阅读量1.7k 收藏 1
点赞数 4
分类专栏: winows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45806710/article/details/113762269
版权

APC队列

kd> dt _KAPC
nt!_KAPC
   +0x000 Type             : Int2B			//APC类型为0x12
   +0x002 Size             : Int2B			//大小为0x30
   +0x004 Spare0           : Uint4B
   +0x008 Thread           : Ptr32 _KTHREAD//目标进程
   +0x00c ApcListEntry     : _LIST_ENTRY	//APC队列挂的位置
   +0x014 KernelRoutine    : Ptr32     void //执行完毕后,用来释放APC
   +0x018 RundownRoutine   : Ptr32     void 
+0x01c NormalRoutine    : Ptr32     void //用户APC总入口 |真正的内核APC函数
   +0x020 NormalContext    : Ptr32 Void//内核APC:NULL;用户APC:真正用户APC函数
   +0x024 SystemArgument1  : Ptr32 Void//参数
   +0x028 SystemArgument2  : Ptr32 Void//参数
   +0x02c ApcStateIndex    : Char//挂那个队列,有4个值
   +0x02d ApcMode          : Char//用户APC函数内核APC
   +0x02e Inserted         : UChar//表示本APC是否已经挂入APC队列

插入流程
QueueUserApc->NtQueueApcThread->KeInitializeApc(初始化KAPC结构体)->KeInsertQueueApc->KiInsertQueueApc(将KAPC插入指定APC队列)

KeInitializeApc(内核函数)

VOID KeInitializeApc
(
IN PKAPC Apc,//指针
IN PKTHREAD Thread,//目标进程
IN KAPC_ENVIRONMENT TargrtEnvironment,//0.1.2.3四种状态
IN PKKERNEL_ROUTINE KernelRiutine,//销毁KAPC的函数地址
IN PKRUNDOWN_ROUTINE RundownRoution OPTIONAL,
IN PKNORMAL_ROUTINE NormalRoutine,//APC总入口
IN KPROCESSOR_MODE Mode,//选择插入那个队列
IN PVOID Context//内核APC:NULL。用户APC:真正的内核APC函数

KiInsertQueueApc函数说明
在这里插入图片描述

ApcStateInder
与KTHREAD(+0X165)的属性同名,但含义不同
有4个值:0 原始环境 1挂靠环境
2当前环境 3插入APC时的当前环境
KiServiceExit函数
这个函数是系统调用,异常,中断返回用户空间的必经之路;
KiDeliverApc函数
负责执行APC函数

Aaronpack
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
m0_62783065的博客
12-05 586
【免杀前置课——Windows编程】十四、异步IO——什么是异步IO、API定位问题、APC调用队列
Windows APC学习笔记(一)—— APC的本质&备用APC队列
qq_41988448的博客
01-12 2879
Windows APC机制学习笔记(一)—— APC的本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1216
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 1046
APC机制分析
APC(二)
Misaka10046的博客
11-26 405
BOOLEAN KeInsertQueueApc ( __inout PRKAPC Apc, //APC的结构 __in_opt PVOID SystemArgument1, __in_opt PVOID SystemArgument2,//参数 __in KPRIORITY Increment//优先级 ) ```
APC学习记录
qq_45844442的博客
10-28 675
插入过程主要是根据参数决定APC插入链表的位置执行过程主要是先执行参数的KernelRoutine的代码,如果有NormalRoutine则跳到三环去遍历执行再回到内核,以此往复将链表中的所有APC执行完毕。
giCell zlg-gui
11-02
定时器(Timer)、优先级消息(Message)和环形队列(Ring buffer)内核对象; 6. 任何内核对象用一整数ID标识,而非指针,从而可避免用户任务野指针的副作用,内 核对象总数不超过61440(即60K); 7. 互斥锁...
APC注入DLL内核
12-13
3. **插入APC**:将创建的APC插入到目标进程的APC队列中。这可以通过`QueueUserAPC` API来实现,该API允许用户模式代码将APC插入到另一个线程的队列。 4. **触发APC执行**:当目标进程的线程进入内核模式时,系统会...
Apc.rar_APC_windows APC
09-23
- **调度APC**: 当线程从可调度状态变为可运行状态时,系统会检查其APC队列并安排APC执行。 - **执行APC**: 线程在适当的时间执行APC函数,这通常发生在线程的上下文切换时。 4. **线程的APC状态** 线程有三种与...
APC.rar_APC processing_callback
09-20
线程进入告警状态时,内核将会检查线程的APC队列,如果队列中有APC,将会按FIFO方式依次执行。如果队列为空,线程将会挂起等待事件对象。以后的某个时刻,一旦APC进入队列,线程将会被唤醒执行APC
apc_inject.rar_APC_APC inject_inject
09-23
APC注入的核心是将shellcode(一段可执行的恶意代码)放入APC队列,然后等待目标进程的执行上下文切换时触发执行。由于APC可以在Ring 0(内核模式)执行,这意味着攻击者可以绕过用户模式下的安全防护,执行高权限...
APC Injection of Windows 7 x86 in R0
weixin_30814319的博客
09-05 229
APC Injection of Windows 7 x86 in R0 Introduction When running in kernel mode, it may be necessary to inject code into a User-land process. We can use the Asynchronous Procedure Calls(APCs) to ac...
4.内核APC执行过程
My classmates
10-24 1777
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
投递APC失败,是什么原因?
陈刚编程心得与知识集
01-13 773
我见网上都是用内存映射的方法!而我为了图方便就用的RtlMoveMemory 但是调试发现KeInsertQueueApc函数成功,但是Thread+0x40,也就是ApcState->ApcListHead没有我的ListEntry,头和尾是一样的!不解,难道非要用内存映射的方法? 还是KeInitializeApc的什么出错了? kd> dt _KAPC 8728a230 ntdll!
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5509
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一《进程终止的内幕》
安全之路 —— 利用APC队列实现跨进程注入
dengdao1372的博客
03-23 249
简介 在之前的文章中笔者曾经为大家介绍过使用CreateRemoteThread函数来实现远程线程注入(链接),毫无疑问最经典的注入方式,但也因为如此,这种方式到今天已经几乎被所有安全软件所防御。所以今天笔者要介绍的是一种相对比较“另类”的方式,被称作“APC注入”。APC(Asynchronous Procedure Call),全称为异步过程调用,指的是函数在特定线程中被异步执行。...
谈谈对APC的一点理解
乐朝夕与之共
07-10 2734
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
APC机制详解
鬼手的博客
02-15 6360
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
深入解析MicroC/OS-II实时内核
2. **同步与通信**:内核提供了消息队列、信号量、事件标志组等机制,使任务间能够安全有效地进行数据交换和同步操作。 3. **内存管理**:uc/os-II 提供了动态内存分配和释放功能,以及内存池管理,以优化内存使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aaronpack

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值