Windows操作系统----进程与线程----内核层对象----KTHREAD

最新推荐文章于 2024-07-25 17:09:16 发布
最新推荐文章于 2024-07-25 17:09:16 发布
阅读量628 收藏 1
点赞数
分类专栏: Windows操作系统 文章标签: windows 内核 线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/121816582
版权 

typedef struct _KTHREAD
{
     DISPATCHER_HEADER Header;
     UINT64 CycleTime;
     ULONG HighCycleTime;
     UINT64 QuantumTarget;
     PVOID InitialStack;
     PVOID StackLimit;
     PVOID KernelStack;
     ULONG ThreadLock;
     union
     {
          KAPC_STATE ApcState;
          UCHAR ApcStateFill[23];
     };
     CHAR Priority;
     WORD NextProcessor;
     WORD DeferredProcessor;
     ULONG ApcQueueLock;
     ULONG ContextSwitches;
     UCHAR State;
     UCHAR NpxState;
     UCHAR WaitIrql;
     CHAR WaitMode;
     LONG WaitStatus;
     union
     {
          PKWAIT_BLOCK WaitBlockList;
          PKGATE GateObject;
     };
     union
     {
          ULONG KernelStackResident: 1;
          ULONG ReadyTransition: 1;
          ULONG ProcessReadyQueue: 1;
          ULONG WaitNext: 1;
          ULONG SystemAffinityActive: 1;
          ULONG Alertable: 1;
          ULONG GdiFlushActive: 1;
          ULONG Reserved: 25;
          LONG MiscFlags;
     };
     UCHAR WaitReason;
     UCHAR SwapBusy;
     UCHAR Alerted[2];
     union
     {
          LIST_ENTRY WaitListEntry;
          SINGLE_LIST_ENTRY SwapListEntry;
     };
     PKQUEUE Queue;
     ULONG WaitTime;
     union
     {
          struct
          {
               SHORT KernelApcDisable;
               SHORT SpecialApcDisable;
          };
          ULONG CombinedApcDisable;
     };
     PVOID Teb;
     union
     {
          KTIMER Timer;
          UCHAR TimerFill[40];
     };
     union
     {
          ULONG AutoAlignment: 1;
          ULONG DisableBoost: 1;
          ULONG EtwStackTraceApc1Inserted: 1;
          ULONG EtwStackTraceApc2Inserted: 1;
          ULONG CycleChargePending: 1;
          ULONG CalloutActive: 1;
          ULONG ApcQueueable: 1;
          ULONG EnableStackSwap: 1;
          ULONG GuiThread: 1;
          ULONG ReservedFlags: 23;
          LONG ThreadFlags;
     };
     union
     {
          KWAIT_BLOCK WaitBlock[4];
          struct
          {
               UCHAR WaitBlockFill0[23];
               UCHAR IdealProcessor;
          };
          struct
          {
               UCHAR WaitBlockFill1[47];
               CHAR PreviousMode;
          };
          struct
          {
               UCHAR WaitBlockFill2[71];
               UCHAR ResourceIndex;
          };
          UCHAR WaitBlockFill3[95];
     };
     UCHAR LargeStack;
     LIST_ENTRY QueueListEntry;
     PKTRAP_FRAME TrapFrame;
     PVOID FirstArgument;
     union
     {
          PVOID CallbackStack;
          ULONG CallbackDepth;
     };
     PVOID ServiceTable;
     UCHAR ApcStateIndex;
     CHAR BasePriority;
     CHAR PriorityDecrement;
     UCHAR Preempted;
     UCHAR AdjustReason;
     CHAR AdjustIncrement;
     UCHAR Spare01;
     CHAR Saturation;
     ULONG SystemCallNumber;
     ULONG Spare02;
     ULONG UserAffinity;
     PKPROCESS Process;
     ULONG Affinity;
     PKAPC_STATE ApcStatePointer[2];
     union
     {
          KAPC_STATE SavedApcState;
          UCHAR SavedApcStateFill[23];
     };
     CHAR FreezeCount;
     CHAR SuspendCount;
     UCHAR UserIdealProcessor;
     UCHAR Spare03;
     UCHAR Iopl;
     PVOID Win32Thread;
     PVOID StackBase;
     union
     {
          KAPC SuspendApc;
          struct
          {
               UCHAR SuspendApcFill0[1];
               CHAR Spare04;
          };
          struct
          {
               UCHAR SuspendApcFill1[3];
               UCHAR QuantumReset;
          };
          struct
          {
               UCHAR SuspendApcFill2[4];
               ULONG KernelTime;
          };
          struct
          {
               UCHAR SuspendApcFill3[36];
               PKPRCB WaitPrcb;
          };
          struct
          {
               UCHAR SuspendApcFill4[40];
               PVOID LegoData;
          };
          UCHAR SuspendApcFill5[47];
     };
     UCHAR PowerState;
     ULONG UserTime;
     union
     {
          KSEMAPHORE SuspendSemaphore;
          UCHAR SuspendSemaphorefill[20];
     };
     ULONG SListFaultCount;
     LIST_ENTRY ThreadListEntry;
     LIST_ENTRY MutantListHead;
     PVOID SListFaultAddress;
     PVOID MdlForLockedTeb;
} KTHREAD, *PKTHREAD;

Header:说明该对象是一个分发器对象,可以被等待。线程结束时,等待被满足。

MutantListHead:指向一个链表头。链表中包含所有属于该线程的突变体对象(mutant,对应互斥体对象)。

InitialStack:原始栈位置(高地址)

StackLimit:栈低地址

KernelStack:内核调用栈开始位置

StackBase:当前栈的基地址。

ThreadLock:自旋锁,用于保护线程数据成员。

ApcState:KAPC_STATE结构,指定线程的APC信息,包括APC链表,是否有APC正在等待,是否正在处理APC。

ApcQueueable:是否可插入APC

NextProcessor:关于处理器调度的选择。

DeferredProcessor:关于处理器调度的选择。

AdjustReason:优先级调整原因

AdjustIncrement:优先级调整调整量

ApcQueueLock:保护APC队列的自旋锁。

ContextSwitches:记录线程进行了多少次切换。

State:线程当前状态。

NpxState:浮点处理器状态。

Alertable:线程是否可以被唤醒。

WaitNext:

WaitIrql:原先的IRQL。

WaitReason:等待原因

WaitMode:线程等待时的处理器模式,内核or用户

WaitStatus:等待的结果状态。

WaitBlockList:KWAIT_BLOCK为元素的链表,记录线程所有等待的分发器对象。每个分发器对象也有一个KWAIT_BLOCK组成的链表,记录所有等待在该对象的线程。

GateObject:等待的门对象,等待门对象和等待分发器对象不会同时发生。

Priority:动态优先级。

BasePriority:基本优先级。

PriorityDecrement:优先级动态调整过程中的递减值。

Saturation:线程基本优先级调整相对于进程基本优先级是否超过了区间的一半。

EnableStackSwap:内核栈是否准许被换出。

SwapBusy:当前是否正在进程上下文切换。

Alerted:线程在警告模式下是否可以被唤醒。

WaitListEntry:双向链表节点,等待被执行时,作为节点加入某链表

SwapListEntry:单链表节点,内核栈需要被换出时,加入KiStackInSwapListHead为头的链表。另外,线程处于DeferredReady状态时加入DeferredReadyListHead为头的链表。

Queue:队列分发器对象,线程正在处理此队列中的项。

WaitTime:线程进入等待时刻的时间点。

KernelApcDisable/SpecialApcDisable:内核APC和特殊内核APC是否被禁止。

TEB:进程地址空间的一个TEB域

Timer:定时器。

AutoAlignment:与KPROCESS相同

DisableBoost:与KPROCESS相同

WaitBlock:4个KWAIT_BLOCK成员的数组,线程等待的分发器少于4个时,使用这里的空间,不分配新空间。

QueueListEntry:线程处理一个队列项时,加入到队列对象的线程链表中的地址。

TrapFrame:指向KTRAP_FRAME类型的指针。用户保存执行现场。

CallbackStack:线程的回调栈地址,在从内核模式返回用户模式时用。

ServiceTable: 指向系统使用的系统服务表,非GUI线程为KeServiceDescriptorTable,GUI线程为KeServiceDescriptorTableShadow。

IdealProcess:理想处理器

Preempted:是否被高优先级线程抢占了。

ProcessReadyQueue:是否在进程对象的ReadyListHead列表中。

KernelStackResident:线程的内核栈是否驻留在线程中。

Affinity:处理器亲和性,为线程指定的处理器集合必须是该集合的子集。

UserAffinity:线程的用户亲和性。

Process:执行线程的进程对象。

ApcStateIndex:指明当前APC状态在ApcStatePointer域中的索引。

Win32Thread:指向Windows子系统管理的区域的指针。

SuspendApc/SuspendSemaphore:用于支持线程挂起的域。

ThreadListEntry:双链表的节点,线程被创建时,加入到进程的ThreadListHead链表中。

SListFaultAddress:上一次用户模式互锁单链表POP操作发生页面错误的地址。

SuspendSemaphore:与上面有关。

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KTHREAD 结构体属性介绍
hambaga的博客
03-10 1762
typedef struct _KTHREAD { // // The dispatcher header and mutant listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; // KTHREAD 是可等待对象线程结束时有信号 // 此链表存储了属于该线程的所有 mutant(对应3环的 mutex) // 一旦该线程获得了 mu
内核线程结构--KTHREAD
BpLife
12-08 1865
WRK中KTHREAD typedef struct _KTHREAD { // // The dispatcher header and mutant listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header;//线程对象也是个分发器对象。 LIST
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 428
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
Windows内核里面KTHREAD和KPROCESS的头文件
weixin_30617695的博客
04-14 347
内核编程的时候用到了KTHREAD KPROCESS这两个数据结构,在DDK2003和WDM里面都找不到对它们的明确定义,仅仅只有 typedef struct _KPROCESS *PKPROCESS 和typedef struct _KTHREAD *PKTHREAD 后来才知道原来这两个是Windows未公开的内核数据结构,特找到其头文件如下,保存为.H后直接include即可,希望能方...
Windows内核原理与实现笔记》(五)Windows内核进程线程的数据结构KTHREAD,KPROCESS
kernweak的博客
01-09 1384
Windows进程线程的数据结构 Windows内核中的执行体负责各种与管理和策略相关的功能,而内核(或微内核)实现了操作系统的核心机制。进程线程在这两上都有对应的数据结构。 内核进程线程对象 首先看(微)内核的数据结构,这是进程线程最为基本的数据结构,分别名为KPROCESS和KTHREAD。 KPROCESS的定义(见base\ntos\inc\ke.h) t...
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1106
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程内核中都有一个 _KTrap_Frame 结构体,用于操作系统线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
Windows内核原理与实现读书笔记之异常分发
maomao171314的专栏
11-24 316
异常分发 在Intel X86 体系结构中,异常也是通过IDI(中断描述符表)分发的。 异常记录EXCEPTION_RECORD 定义: typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode;//异常产生的原因 DWORD ExceptionFlags;//异常标志 struct _EXCEPTION_RECORD *ExceptionRecord;//相关联的异常记录 PVOID ExceptionAddress...
csci455-project2
04-17
由于您实际上是在实现操作系统的上下文切换部分,因此您会发现在教科书中有关进程线程的章节中引入了许多有用的概念:进程控制块,就绪队列和设备队列,短期调度程序与分派程序等你并不需要有关防止或你的线程...
Linux内核调试技术——进程D状态死锁检测-List_linux-亚虎娱乐博客 - 亚虎娱乐1
08-03
在Linux操作系统中,进程的状态管理是内核核心功能的一部分,而死锁问题则是系统稳定性和性能的重要考量因素。本文将探讨Linux内核如何通过hung task机制来检测和处理可能导致死锁的D状态进程。 Linux进程有多种...
Windows操作系统多核CPU内核线程管理方法
10-18
Windows操作系统中,多核CPU的内核线程管理是一个关键的优化领域,尤其是在处理实时性要求较高的任务时。Windows采用的是CPU时间片轮转的多任务分配机制,这种机制对于大多数用户应用来说足够高效,但无法满足严格...
Windows进程线程实验PPT学习教案.pptx
10-02
Windows操作系统中,进程线程是执行程序的基本单元,它们是...通过这些实验,学习者将能够深入理解Windows操作系统进程线程的工作原理,这对于系统级编程、性能优化、故障排查等方面有着极其重要的实践意义。
Linux内核线程编程方法
07-29
Linux内核线程编程涉及到操作系统的核心机制,是Linux系统中用于执行特定内核任务的一种机制。内核线程与用户进程的主要区别在于它们不拥有独立的地址空间,它们的活动范围仅限于内核空间,不会进行用户态到内核态的...
APC_LEVEL相关内容整理
lixiangminghate的专栏
05-24 655
在看WDF框架的时候,看到一段代码注释:NTSTATUS __fastcall FxPkgIo::DispatchStep2( __inout MdIrp Irp, __in_opt FxIoInCallerContext* IoInCallerCtx, __in_opt FxIoQueue* Queue ) { // ...
进程线程005 SwapContext函数分析
鬼手的博客
02-12 2884
文章目录线程切换与TSS内核堆栈内核堆栈结构调用API进零环SwapContext代码分析线程切换与FSSwapContext代码分析SwapContext的其他问题SwapContext有几个参数 怎么判断出来的?SwapContext在哪里实现了线程切换?0环的ExceptionList是在哪里备份的 线程切换与TSS SwapContext这个函数是Windows线程切换的核心,无论是主动切...
windows对象管理入门理解
vincent_1011的专栏
12-10 2993
先来一张图。下面文字参考《 Undocumented Windows 2000 Secrets》  四1. Dispatcher对象 此类对象位于系统的最底,在它们的对象体的开始处都有一个共享 的公共数据结构----DISPATCHER_HEADER(参见列表7-1)。在它们的对象头中包含一个对象类型ID和对
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析
qq_41988448的博客
03-04 2670
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析前言要点回顾WaitForSingleObjectNtWaitForSingleObjectKeWaitForSingleObject:上半部分关键循环总结关于强制唤醒实验:证明等待块与等待块表的关系第一步:编译并运行以下代码第二步:再WinDbg中找到该进程第三步:查看线程信息 前言 一、学习自滴水编程达人...
Windows进程间通信(二)
gaodezheng的专栏
04-22 720
2. 信号量(Semaphore)学过操作系统原理的读者想必知道“临界区”和“信号量”、以及二者之间的关系。如果没有学过,那也不要紧,不妨把临界区想像成一个凭通行证入内的工作场所,作为对象存在的“信号量”则是发放通行证的“票务处”。但是,通行证的数量是有限的,一般只有寥寥几张。一旦发完,想要领票的进程(线程)就只好睡眠等待,直到已经在里面干活的进程(线程)完成了操作以后退出临界区并交还通行证,才会
4.内核APC执行过程
My classmates
10-24 1779
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC的执行过程。 执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
UEFI DebugLib 介绍
最新发布
qq_43561214的博客
07-25 643
有多个Lib 对DebugPrintEnabled 做了定义,因此可以使用不同的Lib 让Debug()产生不同的效果,这点也适用于其他函数。UefiDebugLibConOut.inf 这个Lib就是开始我们提到的将debug信息打印到Shell 使用的Lib。当我们调试程序时,可以在可能有问题的地方插入一条 INT 3 指令,使 CPU 执行到这一点时停下来。当条件为假时,断言会触发错误处理机制,通常会导致程序中。对于不同的架构实现方式可能不同,但是可以用同样的模块代码,通过替换Lib去替换实现函数。
Linux进程管理详解:从fork到内核线程
在Linux操作系统中,进程管理是系统核心的重要组成部分,涉及到进程的创建、调度、同步以及销毁等多个方面。本文将深入探讨这些关键知识点。 首先,进程表示是理解Linux进程管理的基础。在Linux中,进程(Process)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值