01 APC

已于 2023-05-25 10:05:13 修改
阅读量74 收藏
点赞数
分类专栏: APC 文章标签: windows
于 2023-05-15 13:56:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130682435
版权

线程是不能被杀掉、挂起、恢复的,线程在执行的时候自己占着CPU,别人怎么可能控制它呢?

如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想死,一定是自己执行代码把自己杀死,不存在它杀的情况

如果想改变一个线程的行为怎么办呢?

可以给她提供一个函数,让它自己去调用,这个函数就是APC(异步过程调用

KAPC

kd> dt _KAPC
nt!_KAPC
   +0x000 Type		//类型  APC类型为0x12
   +0x002 Size		//本结构体的大小  0x30
   +0x004 Spare0    	//未使用                             
   +0x008 Thread 		//目标线程                                  
   +0x00c ApcListEntry	//APC队列挂的位置
   +0x014 KernelRoutine	//指向一个函数(调用ExFreePoolWithTag 释放APC)
   +0x018 RundownRoutine//略 
   +0x01c NormalRoutine	//用户APC总入口  或者 真正的内核apc函数
   +0x020 NormalContext	//内核APC:NULL  用户APC:真正的APC函数
   +0x024 SystemArgument1//APC函数的参数	
   +0x028 SystemArgument2//APC函数的参数
   +0x02c ApcStateIndex	//挂哪个队列,有四个值:0 1 2 3
   +0x02d ApcMode	//内核APC 用户APC
   +0x02e Inserted	//表示本apc是否已挂入队列 挂入前:0  挂入后  1


Type :类型。在Windows里,任何一种内核对象都有一个编号,这个编号用来标识你是属于哪一种类型,APC本身也是一种内核对象,它也有一个编号,是0x12
Size:这个成员指的是当前的KAPC的结构体的大小
Thread:每一个线程都有自己的APC队列,这个成员指定了APC属于哪一个线程
ApcListEntry:APC队列挂的位置,是一个双向链表,通过这个双向链表可以找到下一个APC
KernelRoutine:指向一个函数(调用ExFreePoolWithTag 释放APC)。当我们的APC执行完毕以后,当前的KAPC本身的这块内存,会由KernelRoutine指定的函数来释放
NormalRoutine:如果当前是内核APC,通过这个值找到的就是真正的内核APC函数;如果当前的APC是用户APC,那么这个位置指向的是用户APC总入口,通过这个总入口可以找到所有用户提供的APC函数
NormalContext:如果当前是内核APC,通过这个值为空;如果当前的APC是用户APC,那么这个值指向的是真正的用户APC函数
SystemArgument1 SystemArgument2 APC函数的参数
ApcStateIndex:当前的APC要挂到哪个队列
ApcMode:当前的APC是用户APC还是内核APC
Inserted:当前的APC结构体是否已经插入到APC队列

KAPC_STATE

ntdll!_KTHREAD

   +0x034 ApcState         : _KAPC_STATE 
   
   +0x138 ApcStatePointer  : [2] Ptr32 _KAPC_STATE

   +0x14c SavedApcState    : _KAPC_STATE

   +0x165 ApcStateIndex    : UChar
   +0x166 ApcQueueable     : UChar ;表示是否可以向线程的APC队列中插入APC

.
.....

kd> dt _KAPC_STATE
ntdll!_KAPC_STATE
   +0x000 ApcListHead      : [2] _LIST_ENTRY ;2个APC队列,用户APC和内核APC
   +0x010 Process          : Ptr32 _KPROCESS ;线程所属或者挂靠的进程
   +0x014 KernelApcInProgress : UChar ;内核APC是否正在执行
   +0x015 KernelApcPending : UChar ;是否有正在等待执行的内核APC
   +0x016 UserApcPending   : UChar ;是否有正在等待执行的用户APC

KiServiceExit函数 : 这个函数是系统调用、异常或中断返回用户空间的必经之路

KiDeliverApc函数 : 负责执行APC函数

备用APC队列

SavedApcState

当T线程挂靠B进程后,APC队列中存储的却仍然是原来的APC!具体点说,比如某个APC函数要读取一个地址0x12345678的数据,如果此时进行读取,读到的将是B进程的地址空间,这样逻辑就错误了!

为了避免混乱,在T线程挂靠B进程的时候,会将ApcState中的值暂时存储到SavedApcState ,等回到原来的进程A,再将APC队列恢复。所以SavedApcState 称为备用APC队列


A进程的T线程挂靠B进程,A是T的所属进程,B是T的挂靠进程

ApcState		 B进程相关的APC函数

SavedApcState 	 A进程相关的APC函数

ApcStatePointer

正常情况下 :


ApcStatePointer [0] 指向ApcState
ApcStatePointer [1] 指向SavedApcState

挂靠情况下 :


ApcStatePointer [0] 指向SavedApcState  
ApcStatePointer [1] 指向ApcState

ApcStateIndex

当前线程处于什么状态

0 : 正常状态
1 : 挂靠状态

ApcStatePointer[ApcStateIndex] 指向的一定是APC队列(ApcState)

ApcQueueable

是否可以向线程的APC队列中插入APC

当线程正在执行退出代码时,会将这个值设置为0,如果执行插入APC的代码(KeInsertQueueApc),在插入函数中会判断这个值的状态,如果为0,则插入失败

柠檬的泪是酸的@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.内核APC执行过程
My classmates
10-24 1771
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
内核APC&用户APC详解
hongduilanjun的博客
09-14 843
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC内核APC的时候存储的是真正的APC地址,当APC用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
windows内核用户APC执行流程图(KiInitializeUserApc
windows小菜鸡的博客
12-02 412
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1705
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
内核篇-----用户APC
qq_45806710的博客
02-08 1219
用户APC执行过程 1.执行用户APC的堆栈操作 线程从用户层到内核层时,要保留原来的运行环境; 寄存器,栈的位置要切换回内核的堆栈,如果正常返回,恢复堆栈环境即可;但是要是有用户APC要执行的话,线程要提前返回到用户空间执行,而且返回的位置不是线程进入内核时的位置,而是返回到其他位置,每处理一个用户APC都会涉及到内核用户空间再回到内核空间(ZwContinue); KiIntializeUesrApc函数分析:备份CONTEXT 线程进0环时,原来的运行环境要保存到_Trap_Frame结构体中,如果
php apc apcu,php_apc.c
weixin_34409887的博客
03-13 217
/*+----------------------------------------------------------------------+| APC |+-----------------------------------------------------...
APC
chengtoreal的博客
03-14 198
APC(异步过程调用) 使用TerminiateThread函数是往对应线程发送APC消息,线程处理APC消息后自己结束线程 ETHREAD结构中有两个APC队列,一个3环APC,一个0环APC APC是个函数,被插入线程执行 APC对列中都存放KAPC结构体 QueueAPC这个API可以插入APC函数 ...
APC异步过程调用
kernweak的博客
09-03 2406
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
APC250.10.01_Wanhua.pdf
06-06
打开密码aspentraining.重点介绍aspen APC的建模原理及算法
预连接MPO-APC-MPO-APC室外配线缆Datasheet 01.pdf
09-23
预连接MPO-APC-MPO-APC室外配线缆Datasheet 01.pdf 该预连接MPO-APC-MPO-APC室外配线缆Datasheet 01.pdf文件提供了预连接MPO-APC-MPO-APC室外配线缆的详细规格和性能参数。该产品采用MPO技术,具有快速部署、网络高...
双端MPO-APC室内配线缆Datasheet 01.pdf
09-23
双端MPO-APC室内配线缆Datasheet 01.pdf 本资源摘要信息提供了双端MPO-APC室内配线缆的详细信息,包括产品特点、基本规格、结构示意图、光缆结构尺寸描述、光纤规格、连接器光学指标、机械环境指标、温度指标、扭转...
php_apc.dll
10-30
我使用两个APC及eaccelerator, APC似乎是越来越好,仅在过去3个月内(自01/2006 ) . 注意:在不久的将来, 此加速器可能变得更好,据说PHP6.X版本中要整合此加速器. 安装过程十分简单安装步骤: 1.下载对应你PHP版本的....
预连接SC-APC-普通SC-UPC入户缆Datasheet (黑色-1-G.657A2-5.0) 01.pdf
09-23
"预连接SC-APC-普通SC-UPC入户缆Datasheet" 预连接SC-APC-普通SC-UPC入户缆是一种高效的光纤基础网建设解决方案,旨在提供快速部署、高可靠性和耐用性的入户缆解决方案。该产品采用双锁防振设计,插芯保护及定位...
IAP固件升级进阶(Qt上位机)
weixin_45817947的博客
06-17 349
时隔近一年,再次接触IAP固件升级,这次修改了以前的一些bug,同时新增一些实用性的功能。有纰漏请指出,转载请说明。学习交流请发邮件 1280253714@qq.com。
【C语言实现内核链表】
m0_45463480的博客
06-17 335
实现了创建节点、插入节点到头部、打印链表和释放链表内存的函数。在上述代码中,我们定义了链表节点结构体。函数中进行了简单的测试。
单链表的实现
最新发布
wujianghh的博客
06-23 292
这里以没有哨兵位的一个链表为例(哨兵位:第一个节点只储存下一个节点的地址,其他值为空,比没有哨兵的链表多一个节点)这里每一个框框代表一个节点,每一个节点相互之间是无关的,是随机的,位置实际是东一个,西一个的。每一个节点包含了两个主要组成,一个是下一个节点的地址,二是每一个节点包含一个自己定义的值,像图中的数就是每一个链表代表的值。一般将第一个节点叫做phead。最后一个链表指向的地址为空。
每天写java到期末考试(6.20)--集合1--基础
2301_80284843的博客
06-20 361
黑马程序员 java学习
iptables(2)安装及规则查询
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 987
iptables为我们预定义了4张表,它们分别是raw表、mangle表、nat表、filter表,不同的表拥有不同的功能,iptalbes基本语法、查询方式。
Windows APC原理
06-11
Windows APC(Asynchronous Procedure Call)是一种异步过程调用机制,它允许一个线程在另一个线程上异步执行指定的函数。APC 机制是 Windows 操作系统中非常重要的一部分,它被广泛用于实现各种系统功能,例如异步 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值