[再mark] 系统注册的dpc,枚举定时器相关的……

最新推荐文章于 2024-06-03 08:35:20 发布
最新推荐文章于 2024-06-03 08:35:20 发布
阅读量86 收藏
点赞数
原文链接:http://www.cnblogs.com/retme/archive/2012/02/21/2494898.html
版权

续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html

刚没事儿又看了下~mark而已啊~

 

1. ExpTimerDpcRoutine

 

R3程序调用NtCreateTimer

 

创建句柄对应Etimeretimer包含一个ktimer结构,最终是通过ktimerdpc机制实现的

 

KtimerdpcExpTimerDpcRoutine,Routine context是etimer,这个routine插入apc  ExpTimerApcRoutine 通知线程


这个apc是ntdll!RtlpTimerThread

 

ETIMER. ApcAssociated0的话,就不用管了,timer这时候已经expire

 

2. IopTimerDispatch

 

IoStartTimer是给驱动用的定时器

 

       RtlZeroMemory( timer, sizeof( IO_TIMER ) );

       timer->Type = IO_TYPE_TIMER;

       timer->DeviceObject = DeviceObject;

       DeviceObject->Timer = timer;

   ExInterlockedInsertTailList( &IopTimerQueueHead,

                                &timer->TimerList,

                                &IopTimerLock );

 

系统使用IopTimerDispatch 这个dpc routine 集中处理这个链表,1秒一次什么的

 

3. ExpTimeRefreshDpcRoutine

 

插入routine ExpTimeRefreshWork的工作线程

 

只有nt4里面有这部分代码 systime.c,看http://www.debugman.com/thread/2752/1/1ida

 

刷新系统时间用的


剩下的神马IopIrpStackProfilerTime CcScanDpc PopScanIdleList之类的不管了~~


ps:xuetr 0.32是显示应用层定时器的进程的,0.45怎么不显示了= =


fc849f0e7bec54e71e8f7aa8b9389b504ec26a64.jpg

阅读全文
类别: 内核  查看评论

转载于:https://www.cnblogs.com/retme/archive/2012/02/21/2494898.html

weixin_30393907
关注
枚举IO_TIMER计时器
qinqin772的博客
01-02 1252
前提: 1。首先你得了解什么是IO_TIMER计时器 不了解的话可以去看一下《Windows驱动开发详解》第10章 2。你得会简单驱动的编写 不了解的话还是可以看一下《windows驱动开发详解》,或是参照网上的教程,开发环境是拦路虎,搭好了,再跟着书上例子,慢慢来,以及多网上查阅 3。你得清楚我的实验环境是在32bit-XP SP3下,因此我这儿的情况可能并不适用你那儿,但是走走流程还
IO定时器和DPC定时器
weixin_42071117的博客
04-27 319
// driver.c #include <ntddk.h> KDPC dpc; KTIMER timer; LARGE_INTEGER timeout; // 卸载函数 VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject); // 普通分发函数 NTSTATUS DispatchRoutine(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp); // 时钟处理函数 VOID IoTimerTes
x64枚举DPC定时器
07-31 410
@写在前面 不同于x86,x64的DPC是被加密了的。对于x64DPC的兴趣始于我已经流产的scalpel计划。当时问某牛怎么遍历,得到的答案是“500大洋给代码”。真是R了狗了,好歹小哥我也是搞技术的,自己搞吧。 PS:这个代码编辑功能。。。醉的不行了。 @前言 在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTa...
驱动开发:内核枚举DpcTimer定时器
热门推荐
CSDN
10-16 1万+
在笔者上一篇文章`《驱动开发:内核枚举IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
DPC定时器
125096
08-06 627
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDK"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
针对windows系统的高精度定时器
gxb0505的博客
05-21 4947
背景  在实际工作过程中,比如与硬件交互、媒体视频播放、性能分析以及多线程任务同步时,可能需要在windows平台下实现ms级别精度的定时器。然而,这种需求虽然存在,但是由于windows系统并不是一个实时操作系统,实现这种精度的定时器,并不是一件容易的事情。 Windows 不是实时操作系统,所以任何方案都无法绝对保证定时器的精度,只是能尽量减少误差。所以,系统的稳定性不能完全依赖于定时器,必
DPC.rar_DPC_DPC matlab _MATLAB DPC_dpc算法
07-15
DPC( Dirty Paper Coding)是一种先进的信道编码技术,主要用于多用户通信系统,尤其是在无线通信领域,能够提高系统的传输效率和抗干扰能力。在给定的压缩包"DPC.rar"中,包含了一个名为"DPC.m"的MATLAB脚本文件,...
驱动开发:内核枚举IoTimer定时器
06-03 692
枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。至此IO定时器枚举就介绍完了,在教程中你已经学会了使用特征码定位这门技术,相信你完全可以输出内核中想要得到的任何结构体。这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。接着就是通过代码实现对此处的定位,定位我们就采用特征码搜索的方式,如下代码是特征搜索部分。定时器,内核定时器其实就是在内核中实现的时钟,该定时器枚举非常简单,因为在。
DPC,时间中断,以及DPC定时器(2)
Returns' Station
05-18 2052
二、WRK中的时钟中断和DPC定时器 之前研究过一点应用 http://hi.baidu.com/andriy_aolala/blog/item/5aba868b235d50749f2fb437.html 为了每次时间中断能够搜索较少的链表 来获得定时器 这里引入了哈希表 。按照不同的时间段被分为512项 挂入链表中,每次中断后先计算出一个下标,然后快速找到相应链表 KiTi
windows下枚举串口的方法,超好用,跟设备管理器枚举一样
10-20
在windows系统(win7、win10)上枚举串口,注册表方法跟SetupAPI方法,可枚举像设备管理器那样的信息
xp下枚举KTIMER计时器(包含DPC计时器)
qinqin772的博客
01-04 1153
[此次枚举发生在  32BIT XP sp3 下,别的版本暂时没有试验过] 【前提】 DPC定时器  中描述,KeSetTimerEx中,引用到了 KiInsertTreeTimer ,这个符号是个 FASTCAL L型的函数调用,但是 其并没有使用EDX。 第一个参数 通过 ECX 将 KTIMER的指针传入, 第二个,第三个参数 靠压栈实现,这两个参数就是 LARGE_INT
使用驱动来枚举DPC
Misaka10046的博客
04-18 146
WIN7 X86。
内核dpc定时器
sanfenlu的专栏
04-12 822
另外,应用程序每次取声音的数据量是根据系统的声音设置而定的,系统声音设置“录制”属性中设置44100每次取1764,设置48000每次取1920。默认值是第一次安装驱动中的接口而定的。应用程序每次只请求1764个字节,每一个中断对应有1920个字节,这样每一个中断就会在驱动中累积156个字节而导致数据在驱动中溢出。总数据量:48000*2*2=192000,应用程序每次请求1920个字节,驱动中的CELL刚好也是1920,这样就每一个中断往应用层写入一次,每秒刚好有100个中断(192000/1920)。
x64驱动遍历 DPC 定时器
LYSM
05-22 803
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑勿喷) 对于 KiProcessorBlock 这个 API , Windows 没有导出: 但是可以通过另一种办法获取到这个地址: // 获取特殊寄存器中的值,拿 _KPRCB ULONG64 PrcbAddress = (ULONG64)__readmsr(0xC0000101)
逆--Win7x64 UserTimer结构获取,NtUserSetTimer,_SetTimer,InternalSetTimer 枚举进程定时器
zhuhuibeishadiao
05-21 3643
用户层调用SetTimer-->内核NtUserSetTimer处理 NtUserSetTimer -->_SetTimer --> InternalSetTimer-->FindTimer / HMAllocObject 去看看NtUserSetTimer 函数原型 UINT_PTR APIENTRY NtUserSetTimer ( HWND hWnd, UINT_PT
HNU-ES实验一(步进电机)
10-13
HNU-ES实验一(步进电机)
scandir-1.10.0-cp38-cp38-win_amd64.whl
最新发布
10-13
scandir-1.10.0-cp38-cp38-win_amd64.whl
【图像配准】基于matlab GUI Powell+蚁群算法图像配准【含Matlab源码 928期】.md
10-13
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像配准:SAR-SIFT改进的SAR图像配准、SIFT图像配准拼接、Powell+蚁群算法图像配准、Harris+SIFT图像配准、OpenSUFT图像配准、图像互信息值图像配准
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值