dpc与线程切换

已于 2023-12-24 21:00:50 修改
阅读量1k 收藏 16
点赞数 19
文章标签: windows 键盘
于 2023-12-24 16:55:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010607621/article/details/135183640
版权
文章详细解析了Windows系统中Ctrl+Alt+Delete键组合如何触发winlogon桌面的过程,涉及中断服务例程(ISR)、DPC(延迟过程调用)以及csrss进程的作用。重点讨论了为何在特定情况下,尽管键盘信号能触发蓝屏,但无法呼出桌面,因为线程切换在DPC级别被阻塞,导致系统卡死。
摘要由CSDN通过智能技术生成

中断服务例程 延迟过程调用 线程切换 键盘信号传输

1. 背景

我一般用ctrl+alt+del能否呼出winlogon桌面作为Windows卡死(hang)还是个别程序卡死的鉴别手段。因为一则用户态的程序没办法干扰这个呼出流程,二则如果不能呼出任务管理器来终止进程或者呼出windbg等工具进行观察调试的话,其实排查的方法也跟windows卡死是一致的——触发scrolllock蓝屏。所以探究ctrl+alt+del呼出winlogon桌面的流程,就是分析这类卡死的第一步。

同样是按键后的反应,为什么在ctrl+alt+del不能呼出的场景下,scrolllock蓝屏还能够触发,也是一个获取关键知识的方向。

2. 键盘信号从按下到应用程序的窗口

大致分为中断服务例程,DPC, csrss,具体应用程序这四个阶段。

2.1 中断服务例程(ISR)

2.1.1 什么是中断服务例程

诸如按下键盘按下或处理器时钟产生的这类设备中断,Windows设置了对应函数(中断服务例程)来处理。Windows在启动的早期阶段先设置好中断号码和ISR的对应关系。当设备中断触发时,Windows先把当前线程的当前状态保存起来,然后用这个线程去执行对应的ISR。执行完毕后再从保存数据恢复那个线程。

2.1.2 查看PS2键盘信号对应的中断服务例程

直接用windbg的!idt查找对应关系

0: kd> .reload;!idt

Dumping IDT: fffff8033ea8e000

00:        fffff8033c351100 nt!KiDivideErrorFaultShadow
01:        fffff8033c351180 nt!KiDebugTrapOrFaultShadow        Stack = 0xFFFFF8033EA929D0
02:        fffff8033c351200 nt!KiNmiInterruptShadow        Stack = 0xFFFFF8033EA927D0
03:        fffff8033c351280 nt!KiBreakpointTrapShadow

……
90:        fffff8033c352700 i8042prt!I8042KeyboardInterruptService (KINTERRUPT ffffbb007e792a00)

……

上文的90对应的函数i8042prt!I8042KeyboardInterruptService就是90中断号对应的ISR。给这个函数下断点,

C
最低0.47元/天 解锁文章
sculida
关注
9.Windows线程切换_TSS
My classmates
10-20 1286
SwapContext这个函数是Windows线程切换的核心,无论是主动切换还,是系统时钟导致的线程切换,最终都会调用这个函数。 在这个函数中除了切换堆栈以外,还做了很多其他的事情,了解这些细节对我们学习操作系统至关重要。 下面我们看看线程切换与TSS的关系。 栈底开始往上0x210个字节存储浮点寄存器的值,以上都是TrapFrame结构(在api3环进0环已经讲过了)。 调用API进0环 普...
6.windows线程切换_主动切换
My classmates
10-19 1232
ida 分析KiSwapThread sub esp, 10h mov [esp+10h+var_4], ebx ;保存当前线程寄存器现场 mov [esp+10h+var_8], esi mov [esp+10h+var_C], edi mov [esp+10h+var_10], ebp mov ebx, ds:0FFDFF01Ch mov ...
第六篇:风起于青萍之末-电源管理请求案例分析(中)
01-13 3390
续: 1.这是什么类型的电源管理IRP,即他的MINOR FUNCTION是什么? 2.哪个物理设备对象是该IRP的接收者? 3.这种MAJOR/MINOR组合的IRP系统能够接收的处理时间范围是多少? 4.而这个IRP到底又被阻塞了多少时间? 5.为什么这个IRP会被阻塞? 以上五个问题,我已经在上篇 --第五篇:风起于青萍之末-电源管
Windows驱动中的PCI, DMA, ISR, DPC, ScatterGater, MapRegsiter, CommonBuffer, ConfigSpace
极客神殿
09-04 800
最近有些人问我PCI设备驱动的问题, 和他们交流过后, 我建议他们先看一看<>这本书, 个人感觉, 这本书写得非常连贯流畅. PCI设备驱动基本包括了PCI的资源获取, 配置空间的读写, 中断的处理, 中断后半部在DPC中的处理. 同时, 也必须了解DMA, ScatterGater, MapRegister, Common Buffer等基础. 1.1 PCI设备资源获取 P...
windows内核情景分析 --- DPC
maomao171314的专栏
04-04 3916
DPC不同APC,DPC的全名是‘延迟过程调用’。 DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不能消耗过多时间,否则会导致系统丢失大量其他中断。但是有的中断,其中断服务例程要做的事情本来就很多,那怎么办?于是,可以在中断服务例程中先执行最紧迫的那部分工作,然后把剩余的相对来说不那么重要的工作移入到D
windows内核原理分析之DPC函数的执行(2)
yushui的笔记本
06-04 1723
windows内核原理分析之DPC函数的执行(2)需要执行DPC函数时,就通过KeInsertQueueDpc()提出DPC请求,就是把具体的KDPC结构挂入PRCB中的DPC请求队列,这常常是由中断服务程序完成的。BOOLEAN NTAPI KeInsertQueueDpc(IN PKDPC Dpc, IN PVOID SystemArgument1, I
DPC(延迟过程调用)的技术细节
kulala082的专栏
09-04 1933
-DPC(延迟过程调用)的细节 NTINSIDER,16卷,1期,1至2月2009 延迟过程调用(DPC)是一种Windows常用功能。用途是广泛和多样的,但最常用的是我们通常所说的“ISR完成”和WindowsTimer底层技术。    如果DPC常用,为什么还要写此篇?我们发现,大多数人并不真正了解DPC工作的底层实现细节。并且,事实证明,一个深入的理解,在选择选项创建D
dpc.rar_DPC_V2
09-24
2. **调度策略**:改进调度算法,确保DPC在合适的时刻运行,减少不必要的等待和上下文切换。 3. **内存管理**:优化内存分配和释放,降低内存碎片,提升整体性能。 4. **错误处理**:增强错误检测和恢复机制,确保...
windows内核原理分析之DPC函数的执行(3)
yushui的笔记本
06-04 2204
windows内核原理分析之DPC函数的执行(3)windows内核什么时候会扫描DPC请求队列,执行这些DPC函数呢?答案是,每当CPU的运行级别从DISPATCH_LEVEL或以上降低到DISPATCH_LEVEL以下时,如果有扫描DPC请求队列的要求存在,内核就会扫描DPC请求队列并执行DPC函数(如果队列非空的话)。为此,我们不妨从宏操作KeLowerIrql()开始往下看。#define
内核dpc定时器
sanfenlu的专栏
04-12 834
另外,应用程序每次取声音的数据量是根据系统的声音设置而定的,系统声音设置“录制”属性中设置44100每次取1764,设置48000每次取1920。默认值是第一次安装驱动中的接口而定的。应用程序每次只请求1764个字节,每一个中断对应有1920个字节,这样每一个中断就会在驱动中累积156个字节而导致数据在驱动中溢出。总数据量:48000*2*2=192000,应用程序每次请求1920个字节,驱动中的CELL刚好也是1920,这样就每一个中断往应用层写入一次,每秒刚好有100个中断(192000/1920)。
线程的被动切换——KiDispatchInterrupt & KiReadyThread&KiQuantumEnd逆向
weixin_45678798的博客
08-05 397
时钟中断在IDT中的中断号为0x30,他的IRQL是28 如果想获取当前的时钟间隔值,可使用API GstSystemTimeAdjustment 当一个线程的时限用完或者发生被抢占的情况下也会会发生线程切换,可以称之为被动切换,时钟中断的服务例程由HAL 提供,它调用了内核模块的KeUpdateSystemTime 函数。 当时钟中断到来时,线程调度器获得控制权并不是直接在时钟中断处理函数中,而是在KiDispatchInterrupt 函数中。线程抢占和时限用完都发生在 KiDispatch......
KeInsertQueueDpc简析
pureman_mega的博客
12-19 1589
本来想把这个函数完整的还原出来,后来写着写着就发现头大,老是转不过弯来。它的反编译代码也不是很长,但是经过编译器处理后感觉还原起来很吃力。特别是一些调转,要将整个流程弄清楚才好写出来,还要注意变量的使用。因为完整的代码写不下出了,这里就对照反编译的代码分析(有兴趣的可以试一试,写完最好能分享一下:)): 原型:BOOLEAN KeInsertQueueDpc( IN PRKDPC Dpc,IN P
DPC 延迟过程调用
yebikangfu的专栏
08-29 1249
引入DPC的原因主要是为了减少cpu在高中断级时的执行时间,和Linux中的底半处理有点相像。一个CPU一个DPC队列,其中每项都是一个KDPC 结构://// Deferred Procedure Call (DPC) object//typedef struct _KDPC {  CSHORT Type;  UCHAR Number;  UCHAR Importance;  LIST_ENTR
Windbg内核调试之五: 一次利用Dump文件调试Deadlock的实战
wowolook的专栏
06-08 5805
http://www.cnblogs.com/Sonic2007/archive/2010/09/01/1541988.html 最近遇到项目的一个bug,安装产品之后系统hang住。大致的现象是系统logon之后,Taskbar显示,然后hang住,Ctrl+Alt+Del不能调出TaskManager,Mouse不能移动,硬盘LED不闪烁。由于机器不在手边,远程调试又极其慢(实际
Interrupt Service Routine(ISR,中断服务程序)
none_hs的博客
05-24 3334
中断:是指当CPU正在处理某件事情的时候,外部发生的某一事件(如一个电平的变化,一个脉冲沿的发生或定时器计数溢出等)请求CPU迅速去处理,于是CPU暂时中止当前的工作,转去处理所发生的事件。中断服务处理完该事件以后,再回到原来被中止的地方继续原来的工作。
中断处理
weixin_34277853的博客
03-14 192
首先在获得PCI配置空间资源的时候,就要获得中断资源,根据CM_PARTIAL_RESOURCE_DESCRIPTOR 结构的 Type 域来区分需要获得什么样的中断资源的时候,如果Type类型为:CmResourceTypeInterrupt,此时需要将中断资源从CM_PARTIAL_RESOURCE_DESCRIPTOR中取出: irql = (KIRQL) resource->u.I...
[笔记] 深入解析Windows操作系统《五》进程、线程和作业
最新发布
二次元怪兽的博客
10-24 77
在本章中,我们将介绍Microsoft Windows中用于处理进程(process)、线程(thread)和作业(job)的数据结构和算法。第一节集中介绍了构成一个进程的内部结构。第二节概要地介绍了创建一个进程(和它的初始线程)时所涉及的步骤。然后介绍了线程的内部机理和线程调度机制。本章最后还讲述了作业对象。因为在Windows中进程和线程牵涉到了如此众多的组件,所以,本章中引用到了大量的术语和数据结构(比如工作集、对象和句柄、系统内存堆,等等),但是它们的细节解释却在本书别的地方。
tiechui_lesson07_中断级和自旋锁
简单的笔记本
05-08 685
但是当页面被换到磁盘上的pagefile.sys,缺页中断无法打断DPC过程(弹幕大佬:“准确说缺页中断会产生,但页面错误异常处理函数无法回应中断请求”),结果是访问一个无效内存,导致BSOD。(弹幕大佬:“也就是说获取自旋锁的线程中断级更高,被抢占的概率更小,从而能尽可能快的释放锁,避免其他线程长时间忙等待”)。DPC这个级别是软件层面能提升到的最高权限,ISR(延迟过程调用)当某个硬件设备引发一个高中断的时候,可以把不那么紧急的任务放在DPC里边来执行,同时又把中断级降低。比如在尝试重入全局变量。
DPC算法与CDP算法
05-25
DPC算法和CDP算法都是用于图像压缩中的算法。 DPC算法全称为Discrete Piecewise Constant Algorithm,是一种基于离散余弦变换(DCT)的无损压缩算法。它将图像分成多个块,对每个块进行DCT变换,然后将变换系数进行编码。DPC算法能够保留原始图像的细节信息,但是需要较大的存储空间。 CDP算法全称为Continuously Differentiable Piecewise Linear Algorithm,是一种基于小波变换的有损压缩算法。它将图像分成多个块,对每个块进行小波变换,然后根据变换系数进行量化和编码。CDP算法能够在压缩过程中去除一定程度的冗余信息,从而达到更高的压缩比,但是会有一定的失真。 总的来说,DPC算法适用于对图像质量要求较高的场景,而CDP算法适用于对图像压缩比要求较高的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值