[转](74)分析 APC 插入过程 —— KeInsertQueueApc , KiInsertQueueApc

最新推荐文章于 2022-08-02 15:20:01 发布
最新推荐文章于 2022-08-02 15:20:01 发布
阅读量565 收藏
点赞数

 

一、KeInsertQueueApc(调用 KiInsertQueueApc)

 

BOOLEAN
KeInsertQueueApc (
    IN PRKAPC Apc,
    IN PVOID SystemArgument1,
    IN PVOID SystemArgument2,
    IN KPRIORITY Increment
    )

/*++

Routine Description:

    This function inserts an APC object into the APC queue specifed by the
    thread and processor mode fields of the APC object. If the APC object
    is already in an APC queue or APC queuing is disabled, then no operation
    is performed. Otherwise the APC object is inserted in the specified queue
    and appropriate scheduling decisions are made.

	插入 APC 到指定线程的APC队列,用户态和内核态分别插入对应的 APC 队列。
	如果 APC 对象已经在 APC 队列或者 APC 队列被禁用(例如线程正在退出),
	则不执行操作。否则插入 APC 对象并调用相应的函数。

Arguments:

    Apc - Supplies a pointer to a control object of type APC.
	APC 结构

    SystemArgument1, SystemArgument2 - Supply a set of two arguments that
        contain untyped data provided by the executive.
	传给 APC 函数的参数。

    Increment - Supplies the priority increment that is to be applied if
        queuing the APC causes a thread wait to be satisfied.
	线程优先级增量

Return Value:

    If the APC object is already in an APC queue or APC queuing is disabled,
    then a value of FALSE is returned. Otherwise a value of TRUE is returned.

--*/

{

    BOOLEAN Inserted;
    KLOCK_QUEUE_HANDLE LockHandle;
    KIRQL OldIrql;
    PRKTHREAD Thread;

    ASSERT_APC(Apc);
    ASSERT(KeGetCurrentIrql() <= DISPATCH_LEVEL);

    //
    // Raise IRQL to SYNCH_LEVEL, acquire the thread APC queue lock, and lock
    // the dispatcher database.
    // 提升 IRQL 等级,申请 APC 锁,锁 dispatcher database

    Thread = Apc->Thread;
    KeAcquireInStackQueuedSpinLockRaiseToSynch(&Thread->ApcQueueLock, &LockHandle);
    KiLockDispatcherDatabaseAtSynchLevel();

    //
    // If APC queuing is disabled, then set inserted to FALSE. Else save
    // system parameter values in APC object, and attempt to queue APC.
    // 调用 KiInsertQueueApc

    if (Thread->ApcQueueable == FALSE) {
        Inserted = FALSE;

    } else {
        Apc->SystemArgument1 = SystemArgument1;
        Apc->SystemArgument2 = SystemArgument2;
        Inserted = KiInsertQueueApc(Apc, Increment);
    }

    //
    // Unlock the dispatcher database from SYNCH_LEVEL, unlock the thread APC
    // queue lock and lower IRQL to its previous value, and return whether the
    // APC was inserted.
    //

    KiUnlockDispatcherDatabaseFromSynchLevel();
    KeReleaseInStackQueuedSpinLock(&LockHandle);
    return Inserted;
}

 

二、KiInsertQueueApc

 

BOOLEAN
FASTCALL
KiInsertQueueApc (
    IN PKAPC Apc,
    IN KPRIORITY Increment
    )

/*++

Routine Description:

    This function inserts an APC object into a thread's APC queue. The address
    of the thread object, the APC queue, and the type of APC are all derived
    from the APC object. If the APC object is already in an APC queue, then
    no opertion is performed and a function value of FALSE is returned. Else
    the APC is inserted in the specified APC queue, its inserted state is set
    to TRUE, and a function value of TRUE is returned. The APC will actually
    be delivered when proper enabling conditions exist.

    N.B. The thread APC queue lock and the dispatcher database lock must both
         be held when this routine is called.

Arguments:

    Apc - Supplies a pointer to a control object of type APC.

    Increment - Supplies the priority increment that is to be applied if
        queuing the APC causes a thread wait to be satisfied.

Return Value:

    If the APC object is already in an APC queue, then a value of FALSE is
    returned. Else a value of TRUE is returned.

--*/

{

    KPROCESSOR_MODE ApcMode;
    PKAPC ApcEntry;
    PKAPC_STATE ApcState;
    BOOLEAN Inserted;
    PLIST_ENTRY ListEntry;
    PKTHREAD Thread;

    //
    // If the APC object is already in an APC queue, then set inserted to
    // FALSE. Else insert the APC object in the proper queue, set the APC
    // inserted state to TRUE, check to determine if the APC should be delivered
    // immediately, and set inserted to TRUE.
    //
    // For multiprocessor performance, the following code utilizes the fact
    // that kernel APC disable count is incremented before checking whether
    // the kernel APC queue is nonempty.
    //
    // See KeLeaveCriticalRegion().
    //

    Thread = Apc->Thread;
    if (Apc->Inserted) {
        Inserted = FALSE;

    } else {
		//typedef enum _KAPC_ENVIRONMENT {
		//	OriginalApcEnvironment, // 所属进程(创建线程的进程,父进程)
		//	AttachedApcEnvironment, // 挂靠进程
		//	CurrentApcEnvironment,	// 当前环境,提供CR3的进程(正常状态是所属进程,挂靠状态是挂靠进程)
		//	InsertApcEnvironment	// 插入APC时的环境
		//} KAPC_ENVIRONMENT;

		// Apc->ApcStateIndex 是在 KeInitializeApc 函数内初始化的,它的值决定了插入到哪个进程的APC队列(所属进程 还是 挂靠进程)
		// 
		// 终止线程的 PspTerminateThreadByPointer 和3环 QueueUserApc , Apc->ApcStateIndex 都是 0
		// 0意味着选择所属进程,因为不挂靠时 ApcStatePointer[0] 是所属线程;挂靠时 ApcStatePointer[0] 还是所属线程的备份

        if (Apc->ApcStateIndex == InsertApcEnvironment) {
			// 插入前实时地从 Thread 里取
			//设计 InsertApcEnvironment 也许是考虑到初始化时和插入前线程的状态可以发生改变

            Apc->ApcStateIndex = Thread->ApcStateIndex;
			
        }
		
        ApcState = Thread->ApcStatePointer[Apc->ApcStateIndex];

        //
        // Insert the APC after all other special APC entries selected by
        // the processor mode if the normal routine value is NULL. Else
        // insert the APC object at the tail of the APC queue selected by
        // the processor mode unless the APC mode is user and the address
        // of the special APC routine is exit thread, in which case insert
        // the APC at the front of the list and set user APC pending.
        //

		
        ApcMode = Apc->ApcMode; // 内核APC or 用户APC

		
        if (Apc->NormalRoutine != NULL) {
			// NormalRoutine 非空,就在这里插入
			// NormalRoutine 是 所有用户APC函数的入口 或者 内核APC函数,取决于APC是用户模式还是内核模式

            if ((ApcMode != KernelMode) && (Apc->KernelRoutine == PsExitSpecialApc)) {
				// 是用户APC,并且 KernelRoutine == PsExitSpecialApc ,3环调用 QueueUserApc 就是这种情况
                
				// 标记已插入
				Thread->ApcState.UserApcPending = TRUE;

				// 插入到队列头部
                InsertHeadList(&ApcState->ApcListHead[ApcMode],
                               &Apc->ApcListEntry);

            } else {
				// 内核APC,比较简单,直接插入队列尾部
                InsertTailList(&ApcState->ApcListHead[ApcMode],
                               &Apc->ApcListEntry);
            }

        } else {
			// NormalRoutine 是 NULL ,走这里

			// 从队尾开始遍历 APC 队列
			// 直到找到下一个 NormalRoutine 为空的APC
            ListEntry = ApcState->ApcListHead[ApcMode].Blink;
            while (ListEntry != &ApcState->ApcListHead[ApcMode]) {
                ApcEntry = CONTAINING_RECORD(ListEntry, KAPC, ApcListEntry);
                if (ApcEntry->NormalRoutine == NULL) {
                    break;
                }

                ListEntry = ListEntry->Blink;
            }

			// 插入到队列头部
            InsertHeadList(ListEntry, &Apc->ApcListEntry);
        }

		// 插入成功
        Apc->Inserted = TRUE;

        //
        // If the APC index from the APC object matches the APC Index of
        // the thread, then check to determine if the APC should interrupt
        // thread execution or sequence the thread out of a wait state.
        //

		// 条件成立,APC 和当前线程使用同一个进程
		// 要么没有attach,APC插入了所属进程
		// 要么attach了,APC插入的也是挂靠的进程
        if (Apc->ApcStateIndex == Thread->ApcStateIndex) {

            //
            // If the processor mode of the APC is kernel, then check if
            // the APC should either interrupt the thread or sequence the
            // thread out of a Waiting state. Else check if the APC should
            // sequence the thread out of an alertable Waiting state.
            //

            if (ApcMode == KernelMode) {
				// 标记已插入内核APC
                Thread->ApcState.KernelApcPending = TRUE;

                if (Thread->State == Running) {
					// 如果线程正在运行,则 APC 中断
                    KiRequestApcInterrupt(Thread->NextProcessor);

                } else if ((Thread->State == Waiting) &&		// 线程阻塞(等待)
                          (Thread->WaitIrql == 0) &&
                          ((Apc->NormalRoutine == NULL) ||
                          ((Thread->KernelApcDisable == 0) &&
                          (Thread->ApcState.KernelApcInProgress == FALSE)))) // 没有正在执行的 APC
				{

					// 修改线程状态为就绪,提升优先级
                    KiUnwaitThread(Thread, STATUS_KERNEL_APC, Increment, NULL);
                }

            } else if ((Thread->State == Waiting) &&							// 线程处于阻塞状态
                      (Thread->WaitMode == UserMode) &&							// 用户导致的阻塞
                      (Thread->Alertable || Thread->ApcState.UserApcPending))	// 是否可以被APC唤醒或者已经插入,SleepEx 可以设置 Alertable
			{

                Thread->ApcState.UserApcPending = TRUE;
				// 修改线程状态为就绪,提升优先级
                KiUnwaitThread(Thread, STATUS_USER_APC, Increment, NULL);
            }
        }

        Inserted = TRUE;
    }

    //
    // Return whether the APC object was inserted in an APC queue.
    //

    return Inserted;
}


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/110285374
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APC的内部实现
Returns' Station
05-18 1407
一个经典的投放apc结束线程是这样的 KeInitializeApc(exitAPC,ethread,OriginalApcEnvironment,KernelKillThreadRoutine,0,0,KernelMode,0); KeInsertQueueApc(exitAPC,exitAPC,NULL,2); 1.APC结构 typedef struct _KA
注入系列:APC注入(Ring3)
weixin_43742894的博客
03-22 886
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
插入用户APC
u012129783的博客
08-24 698
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使插入APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在插入APC时,APC函数就会执行。 #include &quot;stdafx.h&quot; #inc...
内核函数KiInsertQueueApc说明
qq_45806710的博客
02-08 1404
根据KAPC结构中的PpcStateIndex找到对应的A队列3在根据KAPC结构中的ApoMode确定是用户队列函数内核队列 将KAPC挂到对应的队列中(挂 到KAPCApcKistEntry处) 7在根据KAPC结构中的Inserted置1,标识当前的APC为已插入状态 9修改KAPC_ STATE结构中的Kerne lApcPending/UserApcPending ...
插入APC读写内存
liuhaidon1992的博客
01-08 750
#include "ntddk.h" #include "a_header.h" NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_...
APC驱动读写
CalvinXu
03-05 1144
//插APC温柔读内存 BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata) { PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro == ...
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject-x64 ... 初始化APC插入到目标线程中。//KeInitializeApc,KeInsertQueueApc 目标线程在目标进程的地址空间中执行 APC 例程。 APC 例程调用 LdrLoadDll 来加载 DLL。 等待 APC 例程完成。 释放分
信息安全_数据安全_Who is Watching the Watchdog Unc.pdf
08-23
为了解决这个问题,Windows 10 2018年10月更新中,NTOSKRNL被增强了,可以追踪执行Mm操作和APC插入操作的内核调用者。这些事件通过Microsoft-Windows-Threat-Intelligence ETW(事件跟踪)提供程序进行记录,以便...
inlinehook驱动框架资料.pdf
10-30
在(3)处,代码遍历`Addr_KeInsertQueueApc`的前100个字节来查找特征码。一旦找到匹配的特征码序列(即`Findcode`数组),就会计算出`KiInsertQueueApc`的实际地址(在(5)处进行计算)。这个过程利用了函数调用时...
在Windows 2003中HOOK ZwCreateProcessEx
07-10
- 使用内核API(如KeInitializeApcKeInsertQueueApc)设置APC(异步过程调用)来替换或插入到ZwCreateProcessEx的调用链中。 - 当ZwCreateProcessEx被调用时,你的钩子函数会被先执行,可以在这里进行自定义逻辑...
vc++进程调度代码
06-10
这通常涉及创建一个系统服务或者驱动程序,利用Windows的内核模式API,如KeSetQueueDispatcher、KeInsertQueueApc等,来插入自定义的调度逻辑。这种方式需要深入理解Windows内核的工作原理,难度较大,但能实现更...
APC(二)
Misaka10046的博客
11-26 404
BOOLEAN KeInsertQueueApc ( __inout PRKAPC Apc, //APC的结构 __in_opt PVOID SystemArgument1, __in_opt PVOID SystemArgument2,//参数 __in KPRIORITY Increment//优先级 ) ```
QueueUserAPC简介
lyx_2004的博客
10-11 1356
QueueUserAPC是一个简洁的工具,通常可以用作某些通过同步对象处理的任务的快捷方式。它允许您告诉特定线程在该线程方便的时候(即何时完成其当前工作并开始等待某件事)执行某项操作。 假设您有一个主线程和一个工作线程。辅助线程打开文件服务器的套接字,并通过循环调用recv()开始下载10GB文件。主线程希望在等待网络数据包时让工作线程在停机期间执行其他操作。它可以将要在工作程序上运行的功能排队,否则它将等待并且什么也不做。 您必须小心APC,因为在我提到的情况下,您不想进行另一个阻塞的WinSock调用(
内核中通过给线程插apc注入dll
sgzwiz的专栏
03-03 7845
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
APC注入以及几种实现方式
include_voidmain的博客
08-02 2023
APC注入以及几种实现方式
投递APC失败,是什么原因?
陈刚编程心得与知识集
01-13 773
我见网上都是用内存映射的方法!而我为了图方便就用的RtlMoveMemory 但是调试发现KeInsertQueueApc函数成功,但是Thread+0x40,也就是ApcState->ApcListHead没有我的ListEntry,头和尾是一样的!不解,难道非要用内存映射的方法? 还是KeInitializeApc的什么出错了? kd> dt _KAPC 8728a230 ntdll!
KeInsertQueueDpc简析
pureman_mega的博客
12-19 1521
本来想把这个函数完整的还原出来,后来写着写着就发现头大,老是不过弯来。它的反编译代码也不是很长,但是经过编译器处理后感觉还原起来很吃力。特别是一些调,要将整个流程弄清楚才好写出来,还要注意变量的使用。因为完整的代码写不下出了,这里就对照反编译的代码分析(有兴趣的可以试一试,写完最好能分享一下:)): 原型:BOOLEAN KeInsertQueueDpc( IN PRKDPC Dpc,IN P
内核篇-----备用APC
qq_45806710的博客
02-08 1081
备用APC队列 Kd>dt _KTHREAD Nt!_KTHREAD +0x034 ApcState :_KAPC_STATE +0x138 ApcStatePointer:[2]Ptr32_KAPC_STATE +0x14c SavedApcState :_KAPC_STATE +0x165 ApcStateIndex :UChar +0x166 ApcQueueable :UChar .. 1.SavedApcState的意义: A进程中的T线程中的所有APC函数,要访问的内存地址都是A进程的
kthread 中的 SchedulerApc 如何使用,请给个例子
最新发布
04-06
kthread 中的 SchedulerApc 是用于在内核线程上调度 APC(Asynchronous Procedure Call)的方法。以下是一个简单的例子,演示如何使用 SchedulerApc: ``` void MyApcRoutine(PVOID Context, ULONG SystemArgument1, ULONG SystemArgument2) { // 在此处执行异步过程调用的代码 } void MyThreadRoutine(PVOID Context) { PKTHREAD pThread = (PKTHREAD)Context; // 在此处执行内核线程的代码 // 调度异步过程调用 KeInitializeApc(&pThread->Apc, pThread, OriginalApcEnvironment, MyApcRoutine, NULL, NULL, KernelMode, NULL); if (KeInsertQueueApc(&pThread->Apc, NULL, NULL, IO_NO_INCREMENT)) { // APC 已成功插入队列 } else { // APC 插入队列失败 } } int main() { // 创建内核线程 HANDLE hThread; OBJECT_ATTRIBUTES objAttrs = RTL_INIT_OBJECT_ATTRIBUTES(NULL, NULL); NTSTATUS status = PsCreateSystemThread(&hThread, THREAD_ALL_ACCESS, &objAttrs, NULL, NULL, MyThreadRoutine, NULL); if (!NT_SUCCESS(status)) { // 创建线程失败 return status; } // 等待线程退出 status = ZwWaitForSingleObject(hThread, FALSE, NULL); if (!NT_SUCCESS(status)) { // 等待线程失败 return status; } // 关闭线程句柄 ZwClose(hThread); return 0; } ``` 在上面的代码中,MyThreadRoutine 是内核线程的主函数,它执行一些操作后调用 KeInsertQueueApc 方法来将一个 Apc 对象插入到线程的 APC 队列中。然后,MyApcRoutine 会在内核线程上异步执行。注意:在实际代码中,需要根据具体的业务逻辑来编写 MyThreadRoutine 和 MyApcRoutine 函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值