(24)[进程与线程] 分析SwapContext

于 2022-08-21 12:50:09 发布
阅读量619 收藏
点赞数 1
分类专栏: 滴水中期 文章标签: 链表 java 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/126330213
版权

文章目录

SwapContext有几个参数

esi : 当前线程 (_ETHREAD)
edi : 要切换的线程 (_ETHREAD)
ebx : _KPCR
cl : _KTHREAD.WaitIrql ,进去就被改了

SwapContext在哪里实现了线程切换

在这里插入图片描述

哪里进行了进程切换(修改CR3)

在这里插入图片描述

这里的 _ETHREAD + 0x44为养父母,当前在读取哪个进程的数据就填哪个进程
_ETHREAD + 0x220为亲父母,一定是创建自己的进程

所以这里的语义是,当 前线程读取的进程 与 下一个线程读取的进程 是否为同一个。与创建自己的进程无关

如果我们自己修改CR3,那么如果在读取数据的时候线程被切走了,那么线程重新回来的时候,CR3又变回_EHTREAD + 0x44了。
所以自己修改CR3的时候有两个办法:
1.关中断后,修改CR3之
2.把_ETHREAD + 0x44也改了,之后再改回来

TSS存储当前的 SS0 : ESP0

在这里插入图片描述

FS:[0]在3环总能正确指向当前TEB

在这里插入图片描述

先回顾一下TSS段描述符,我们假设当前段寄存器值为3B,那么就有上图

在这里插入图片描述
为什么是FS段选择子是0x3B?当然也可以是其他的,只要3环和0环规定使用同一个选择子就行了,这样他们就能通过同一个选择子读到同一块内存 (GDT[selector.index].base)

异常链表的切换

上一幅图 pop ecx 我有写注释,这也是异常链表切换的一部分
在这里插入图片描述
这幅图在切换堆栈之前push ecx,将异常链表存入了旧的堆栈中

完整分析代码

.text:00404924 SwapContext proc near                   ; CODE XREF: KiUnlockDispatcherDatabase(x)+72↑p
.text:00404924                                         ; KiSwapContext(x)+29↑p ...
.text:00404924         or      cl, cl
.text:00404926         mov     es:[esi+_ETHREAD.Tcb.State], 2 ; esi 新Thread
.text:0040492B         pushf
.text:0040492C
.text:0040492C loc_40492C:                             ; CODE XREF: KiIdleLoop()+5A↓j
.text:0040492C         mov     ecx, [ebx+_KPCR.NtTib.ExceptionList] ; ebx = _KPCR
.text:0040492E         cmp     dword ptr [ebx+994h], 0
.text:00404935         push    ecx                     ; 将旧的线程的异常链表存入旧堆栈
.text:00404936         jnz     loc_404A70
.text:0040493C         cmp     ds:_PPerfGlobalGroupMask, 0
.text:00404943         jnz     loc_404A47
.text:00404949
.text:00404949 loc_404949:                             ; CODE XREF: SwapContext+12B↓j
.text:00404949                                         ; SwapContext+13C↓j ...
.text:00404949         mov     ebp, cr0
.text:0040494C         mov     edx, ebp
.text:0040494E         mov     cl, [esi+_ETHREAD.Tcb.DebugActive]
.text:00404951         mov     [ebx+_KPCR.DebugActive], cl
.text:00404954         cli
.text:00404955         mov     [edi+_ETHREAD.Tcb.KernelStack], esp ; edi 当前Thread
.text:00404958         mov     eax, [esi+_ETHREAD.Tcb.InitialStack]
.text:0040495B         mov     ecx, [esi+_ETHREAD.Tcb.StackLimit]
.text:0040495E         sub     eax, 210h
.text:00404963         mov     [ebx+_KPCR.NtTib.StackLimit], ecx
.text:00404966         mov     [ebx+_KPCR.NtTib.StackBase], eax
.text:00404969         xor     ecx, ecx
.text:0040496B         mov     cl, [esi+_ETHREAD.Tcb.NpxState]
.text:0040496E         and     edx, 0FFFFFFF1h
.text:00404971         or      ecx, edx
.text:00404973         or      ecx, [eax+20Ch]
.text:00404979         cmp     ebp, ecx
.text:0040497B         jnz     loc_404A3F
.text:00404981         lea     ecx, [ecx]
.text:00404983
.text:00404983 loc_404983:                             ; CODE XREF: SwapContext+11E↓j
.text:00404983         test    dword ptr [eax-1Ch], 20000h ; 是否为8086保护模式
.text:0040498A         jnz     short loc_40498F        ; (!= 保护模式) 实模式,跳转
.text:0040498C         sub     eax, 10h                ; (== 保护模式),跳过填充实模式的四个值
.text:0040498C                                         ; Trap_Frame + 0x88 --> Trap_Frame + 0x78
.text:0040498F
.text:0040498F loc_40498F:                             ; CODE XREF: SwapContext+66↑j
.text:0040498F         mov     ecx, [ebx+_KPCR.TSS]    ; ecx = TSS (准备修改当前线程的TSS)
.text:00404992         mov     [ecx+4], eax            ; TSS.esp0 = newEsp (修正正在使用的TSS.esp0)
.text:00404995         mov     esp, [esi+_ETHREAD.Tcb.KernelStack] ; 切换堆栈
.text:00404998         mov     eax, [esi+_ETHREAD.Tcb.Teb]
.text:0040499B         mov     [ebx+_KPCR.NtTib.Self], eax
.text:0040499E         sti
.text:0040499F         mov     eax, [edi+_ETHREAD.Tcb.ApcState.Process]
.text:004049A2         cmp     eax, [esi+_ETHREAD.Tcb.ApcState.Process]
.text:004049A5         mov     [edi+_ETHREAD.Tcb.IdleSwapBlock], 0
.text:004049A9         jz      short loc_4049D7        ; if (curProcess == newProcess) jmp
.text:004049A9                                         ; else 修改CR3 (进程切换)
.text:004049AB         mov     edi, [esi+_ETHREAD.Tcb.ApcState.Process] ; edi = _EPROCESS
.text:004049AE         test    word ptr [edi+20h], 0FFFFh
.text:004049B4         jnz     short loc_404A11
.text:004049B6         xor     eax, eax
.text:004049B8
.text:004049B8 loc_4049B8:                             ; CODE XREF: SwapContext+116↓j
.text:004049B8         lldt    ax
.text:004049BB         xor     eax, eax
.text:004049BD         mov     gs, eax
.text:004049BF         assume gs:GAP
.text:004049BF         mov     eax, [edi+_EPROCESS.Pcb.DirectoryTableBase]
.text:004049C2         mov     ebp, [ebx+_KPCR.TSS]
.text:004049C5         mov     ecx, dword ptr [edi+_EPROCESS.Pcb.IopmOffset]
.text:004049C8         mov     [ebp+1Ch], eax          ; TSS.CR3 = newCR3
.text:004049CB         mov     cr3, eax
.text:004049CE         mov     [ebp+66h], cx           ; TSS.I/O Map Base Address = _EPROCESS.Pcb.IopmOffset
.text:004049CE                                         ; 我也不懂
.text:004049D2         jmp     short loc_4049D7
.text:004049D2 ; ---------------------------------------------------------------------------
.text:004049D4         db 8Dh, 49h, 0
.text:004049D7 ; ---------------------------------------------------------------------------
.text:004049D7
.text:004049D7 loc_4049D7:                             ; CODE XREF: SwapContext+85↑j
.text:004049D7                                         ; SwapContext+AE↑j
.text:004049D7         mov     eax, [ebx+_KPCR.NtTib.Self]
.text:004049DA         mov     ecx, [ebx+_KPCR.GDT]
.text:004049DD         mov     [ecx+3Ah], ax           ; Base Address 15:00
.text:004049E1         shr     eax, 10h                ; 取高16.text:004049E4         mov     [ecx+3Ch], al           ; Base Address 23:16
.text:004049E7         mov     [ecx+3Fh], ah           ; Base Address 31:24
.text:004049EA         inc     [esi+_ETHREAD.Tcb.ContextSwitches]
.text:004049ED         inc     [ebx+_KPCR.PrcbData.KeContextSwitches]
.text:004049F3         pop     ecx                     ; 当前线程的异常链表 (上面已经切换过堆栈了,所以这里是新的异常链表)
.text:004049F3                                         ; 最开始的push ecx,旧的异常链表被放入了旧的堆栈中
.text:004049F4         mov     [ebx+_KPCR.NtTib.ExceptionList], ecx
.text:004049F6         cmp     [esi+_ETHREAD.Tcb.ApcState.KernelApcPending], 0
.text:004049FA         jnz     short loc_404A00
.text:004049FC         popf
.text:004049FD         xor     eax, eax
.text:004049FF         retn
一口一个橘子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于linux下协程的通用实现及libtask库源码解析
weixin_60223182的博客
01-11 466
当我们需要创建一个用户态上下文的时候, 需要调用makecontext函数,此函数接 受一个ucontext_t类型的指针(ucp), 一个函数指针(切换到此上下文寄存器esp 所指向的地址, 多个函数参数的指针地址(都是int类型,所以在64位环境下需要 用两个参数描述一个待执行函数参数的指针地址))从swapcontext的实现可以看出swapcontext所做的事很简单,保存,恢复.把当前 上下文按顺序保存到rdi的偏移,新的上下文(rsi指向的地址)覆盖老的上下文.
9.Windows线程切换_TSS
My classmates
10-20 1228
SwapContext这个函数是Windows线程切换的核心,无论是主动切换还,是系统时钟导致的线程切换,最终都会调用这个函数。 在这个函数中除了切换堆栈以外,还做了很多其他的事情,了解这些细节对我们学习操作系统至关重要。 下面我们看看线程切换与TSS的关系。 栈底开始往上0x210个字节存储浮点寄存器的值,以上都是TrapFrame结构(在api3环进0环已经讲过了)。 调用API进0环 普...
Linux性能分析之上下文切换
qq_42024234的博客
10-24 229
@TOC Linux性能分析之上下文切换 Linux性能分析之上下文切换 新的改变 每个任务运行前,CPU 都需要知道任务从哪里加载、又从哪里开始运行,也就是说,需要系统事先帮它设置好 CPU 寄存器和程序计数器。CPU 寄存器,是 CPU 内置的容量小、但速度极快的内存。而程序计数器,则是用来存储CPU 正在执行的指令位置、或者即将执行的下一条指令位置。它们都是 CPU 在运行任何任务前,必须的依赖环境,因此也被叫做 CPU 上下文。CPU 上下文切换,就是先把前一个任务的 CPU 上下文(也就是 CPU
进程线程005 SwapContext函数分析
鬼手的博客
02-12 2760
文章目录线程切换与TSS内核堆栈内核堆栈结构调用API进零环SwapContext代码分析线程切换与FSSwapContext代码分析SwapContext的其他问题SwapContext有几个参数 怎么判断出来的?SwapContext在哪里实现了线程切换?0环的ExceptionList是在哪里备份的 线程切换与TSS SwapContext这个函数是Windows线程切换的核心,无论是主动切...
setcontext getcontext makecontext swapcontext
Network/Storage/Linux Kernel
12-03 3231
Linux上下文切换以及协程 上下文切换,听起来虚无缥缈,什么是上下文,切换又是指的是什么?其实上下文就可以理解为一个进程所运行的相关的寄存器值,即包括sp/bp/pc等值,换句话说,一个上下文,就是包括了能够恢复进程运行所需要的所有必要的东西。所谓的切换, 那是多进程的操作系统必要的功能,一个CPU能够运行多个进程(看起来),那么必然要在多个进程之间不停的切换,A切换到B时,必...
线程切换 —— 逆向分析 KiSwapContex/SwapContex
walker的博客
03-14 301
简介 在 Windows 内核中,线程的切换是通过底层内核 API 函数 KiSwapContex/SwapContex 实现的。 KiSwapContex KiSwapContex 的逆向分析如下: .text:00404828 ; =============== S U B R O U T I N E ======================================= .text:00404828 .text:00404828 .text:00404828 ; __fastcall KiS
win32拦截SwapContext函数
06-12
拦截swapcontext函数,处理线程切换
win7x64hookSwapContext函数
01-05
64位系统下hook SwapContext函数,ring0。
协程基础库Libco.zip
07-19
它们跑在多进程或者多线程环境下,希望改造为异步服务改造方法:在进程/线程内创建多个coroutine( 使用co_create ),每个routine内部enable_sys_hook, 业务逻辑代码移到routine里面执行,那你所有的同步代码立即自动...
一线光 和冰刃 狙剑同样的效果的小程序
08-19
如果觉得不够, 那么可以启用 SwapContext Hooking, 只要进程被调度, 都能一一显示出来. 2.icelight 提供四种方法来终止线程, 在选项 -> 设置里可以更改. 强度从左到右依次由弱变强. 3.如果遇到无法终止的进程, ...
libco文档以及代码.zip
10-17
libco 是腾讯开源的一个有趣的协程基础库,仅有的几个函数接口 co_create/co_resume/co_yield 再配合 co_poll, 可以支持同步或者异步的写法,如线程库一样轻松,库里面提供了socket族函数的hook, 包含如下内容: ...
[C/C++]windows下实现swapcontext等函数实践
weixin_34391445的博客
07-02 594
2019独角兽企业重金招聘Python工程师标准>>> ...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3260
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
JUC全家桶 | Java线程的两种创建方式和六种状态
人生就是一个不断学习的过程
10-09 479
本文源码:Gitee·点这里 线程的两种创建方式 1. 通过继承Thread类创建线程 将ThreadDemo1类继承Thread类,并重写run方法。 通过ThreadDemo1类实例调用start()方法,将会创建一个线程并启动它。 public class ThreadDemo1 extends Thread { @Override public void run() { System.out.println(Thread.currentThread().getN.
Windows内核之模拟线程切换(附源码)
挖树
03-19 723
Windows内核之线程切换 目录 文章目录目录模拟线程切换总结线程切换_主动切换总结:时钟中断切换总结:时间片管理线程优先级调度链表(32个)如何高效查找 模拟线程切换 实验代码(海东老师的代码,I’m 搬运工) 核心代码: mov [esi+GMThread_t.KernelStack], esp //经典线程切换,另外一个线程复活 mov esp, [edi+GMThread_t.Ker...
Linux系统编程练手项目:使用C语言实现协程
01-16
协程是最近几年比较火的一个概念,尤其是在互联网后台、手机游戏后台等场景中被大量使用。它跟我们经常使用的进程线程有什么区别呢?有哪些优势呢?本期课程为《Linux系统编程》的练手项目:带领大家从零开始,使用仅仅50余行代码,就可以实现一个简单的协程,实现协程的三个基本API接口函数:create、yield、resume。从最开始的汇编开始,到最上层的API的封装,通过这个小项目的实战训练,让你真正理解协程的概念。
7.Windows线程切换_时钟中断切换
My classmates
10-20 1251
绝大部分系统内核函数都会调用SwapContext函数,来实现线程的切换,那么这种切换是线程主动调用的。 如何中断一个正在执行的程序? 异常 比如缺页,或者INT N指令 中断 比如时钟中断 系统时钟 Windows系列操作系统: 10-20毫秒 如要获取当前的时钟间隔值,可使用Win32API: GetSystemTimeAdjustment ida中ALT+T搜索_IDT 点...
零环状态下,通过修改cr3,对用户层数据进行修改失败的情况分析
被遗弃的庸才博客
10-19 1412
今天写代码的时,遇到一个问题,就是在r0的状态下通过修改cr3寄存器的值对用户层某个进程的数据或者代码段进行修改,一直出现修改不了的情况,首先看一下代码(网上找的,应该是某个大手子的代码) ULONG64 pDTB = 0, OldCr3 = 0, vAddr = 0, OldCr0; //Get DTB pDTB = Get64bitValue((UCHAR*)Process + DI...
【Apollo 6.0】cyber rt协程实现
A707471534的博客
03-12 3005
cyber协程 在【Apollo 6.0】 cyber rt是如何使用Reader读取到Writer发送的数据(顶层逻辑) 中,分析到Reader::Init() 的时候,里面使用了协程进行事件处理,那这个协程是怎么实现的呢,这里我们就来分析一下: auto sched = scheduler::Instance(); Scheduler* Instance() { Scheduler* obj = instance.load(std::memory_order_acquire); if (obj
swapcontext
最新发布
08-18
SwapContext是一个函数,根据引用,我们可以通过查看它的调用来确定它有多少个参数。而引用提到,TSS中的ESP0的来源可以在SwapContext的代码中找到。因此,可以通过分析SwapContext函数的代码来回答问题。引用提到了SwapContext函数的工作,它保存了旧线程的寄存器到自己的栈顶,更新了KPCR中的CurrentThread属性,然后调用SwapContext函数来切换线程。所以,SwapContext是一个用来切换线程的函数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [(59)逆向分析 KiSwapContextSwapContext —— 线程切换核心代码](https://blog.csdn.net/Kwansy/article/details/109677083)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [进程线程005 SwapContext函数分析](https://blog.csdn.net/qq_38474570/article/details/104273858)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值