3.APC的挂入过程

最新推荐文章于 2021-11-30 23:34:54 发布
最新推荐文章于 2021-11-30 23:34:54 发布
阅读量640 收藏 3
点赞数 1
分类专栏: APC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42052102/article/details/83310341
版权
本文详细介绍了Windows操作系统的APC(Asynchronous Procedure Call)挂入过程,包括APC的类型、数据结构KAPC、APC队列以及挂入流程。在正常和挂靠状态下,APC有不同的处理方式。APC的挂入涉及到KeInitializeApc和KeInsertQueueApc等内核函数,并根据ApcStateIndex和ApcMode确定挂入的队列。此外,还讨论了Alertable属性对用户APC执行的影响。
摘要由CSDN通过智能技术生成

无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。

每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。

kd> dt _kapc
nt!_KAPC
   +0x000 Type				//类型APC类型为0x12
   +0x002 Size				//本结构体的大小0x30
   +0x004 Spare0			//未使用
   +0x008 Thread			//目标线程
   +0x00c ApcListEntry		//APC队列挂的位置
   +0x014 KernelRoutine	//指向一个函数(调用ExFreePoolWithTag释放APC)
   +0x018 RundownRoutine	//未使用
   +0x01c NormalRoutine		//用户APC总入口或者真正的内核apc函数
   +0x020 NormalContext		//内核APC: NULL用户APC:真正的APC函数 
   +0x024 SystemArgument1	//APC函数的参数
   +0x028 SystemArgument2	//APC函数的参数
   +0x02c ApcStateIndex		//挂哪个队列,有四个值: 0 1 2 3
   +0x02d ApcMode			//内核APC用户APC
   +0x02e Inserted		//表示本apc是否已挂入队列挂入前: 0挂入后1

+0x000 Type
APC的类型为0x12,windows下任何一

最低0.47元/天 解锁文章
My classmates
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APC.rar_APC processing_callback
09-20
APC中文叫异步过程调用(APC)是NT异步处理体系结构中的一个基础部分。Alertable IO(告警IO)提供了更有效的异步通知形式,当IO请求完成后,一旦线程进入可告警状态,回调函数将会执行,也就是一个APC过程。线程...
Windows11_22H2下的APC机制分析
最新发布
lkylky123789的博客
01-04 1009
APC机制分析
APC初始化 —— 逆向分析 KeInitializeApc
walker的博客
03-19 768
简介 操作系统想要实现对正在执行的线程的管理,就要通过 APC 机制实现,即向目标线程的 APC 队列中插入 _KAPC ,以实现对该线程的管理(如挂起、终止)。 而向线程插入 APC 就需要先初始化 APC ,在 Windows中使用 KeInitializeApc 函数实现对APC 的初始化。 以 PspTerminateThreadByPointer 函数为例,部分重要汇编指令如下: 逆向分析KeInitializeApc ...
windows 内核原理与实现读书笔记之APC(异步过程调用)
maomao171314的专栏
11-24 1199
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
浅谈 Signal 与 APC 实现
FadeTrack
07-11 1459
引言之前在学习 linux signal 机制实现的时候,发现和 windows 的APC机制有些不谋而合的味道,遂贴出了二者在使用上相同的片段。今天专程花时间对APC的实现进行了分析,好好扒一扒二者在实现上异同之处。 本文的错误或不足之处望大家指正。本文环境抛开环境对比分析实现是不可能,要限定一个范围。 本文的 signal 机制参考为 linux 1.0.9 本文的 APC 机制参考为 WR
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1711
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
apc.rar_APC_APC 调用_QueueUserAPC _queueuserapc pudn_空态APC
09-24
在Windows操作系统中,异步过程调用(Asynchronous Procedure Call, APC)是一种线程间通信的方式,用于在不同优先级的上下文中执行回调函数。APC分为两种类型:用户态APC(User-Mode APC)和核心态APCKernel-Mode...
基于PHP的52挂Q.zip
07-17
这个项目的名称可能是指一个在线挂机平台或者一种自动化任务处理系统,而“挂Q”可能是网络用语,意味着让程序保持在线状态或执行特定的挂起任务。 【描述】中提供的信息较少,但我们可以推测“52挂Q”项目可能是一...
Windows编程循序渐进.part3
04-12
131.3 实例:演示虚拟内存的“保留—提交”特性 243 13.1.4 实例:游戏内存修改器 245 13.2 内存映射文件 249 13.2.1 内存映射文件的原理 249 13.2.2 实例:文件分割器 250 第14章 进程间通信 254 14.1 消息...
Windows x86/ x64 Ring3层注入Dll总结
09-30
3. **插入Apc队列**:利用异步过程调用(Asynchronous Procedure Call, APC),在目标进程的上下文中执行Dll的代码。 4. **修改注册表**:通过修改注册表中的相关键值,使目标进程在启动时加载指定的Dll。 5. **挂钩...
APC(三)
Misaka10046的博客
11-30 268
内核APC插入 VOID KeInitializeApc ( __out PRKAPC Apc, //输出APC __in PRKTHREAD Thread, //要插入的线程 __in KAPC_ENVIRONMENT Environment, //APC的线程环境 __in PKKERNEL_ROUTINE KernelRoutine, //内核函数 __in_opt PKRUNDOWN_ROUTINE RundownRoutine, //特殊函数
apc
Sunny_wwc的专栏
03-15 1256
NTKERNELAPIVOIDKeInitializeApc (    IN PRKAPC Apc,    IN PKTHREAD Thread,    IN KAPC_ENVIRONMENT Environment,    IN PKKERNEL_ROUTINE KernelRoutine,    IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,    IN PKNORMAL_ROUTINE NormalRoutine OPTIONAL,    IN KPROCE
谈谈对APC的一点理解
乐朝夕与之共
07-10 2732
谈谈对APC的一点理解异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分,理解了它,对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如:当一个设备驱动调用IoCompleteRequest来通知I/O管理
APC机制详解
鬼手的博客
02-15 6316
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
windows内核情景分析 --APC
maomao171314的专栏
04-04 2078
APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回后,正式退回用户空间的总入口BaseProcessStartThunk前,会执行
深入学习APC
求索
05-12 2396
在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成功的调度执行。通过调用下面任意一个函数,都可以让线程进入这种状态。这些函数是:KeWaitForSingleObject, KeWaitForMultipleObjects, KeWait
APC注入DLL(win7下有问题)
weixin_33725272的博客
03-18 179
voidAPCKernelRoutine(PKAPCpKAPC, PKNORMAL_ROUTINEpUserAPC, PVOIDpContext, PVOIDpSysArg1, PVOIDpSysArg2) ...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5506
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
APC机制
wxf明的博客
01-26 577
当系统创建一个线程的时候,会同时创建一个与线程相关的队列。这个队列被叫做异步过程调用(APC)队列。 为了对线程中的APC队列中的项进行处理,线程必须 将自己设置为可提醒状态,只不过意味着我们的线程在执行的时候已经到达了一个点,在这个点上它能够处理被中断的情况,下边的六个函数能将线程设置为可提醒状态: BOOL SleepEx(); DWORD WaitForSingleObjectEx();...
ServerAgent og4j:WARN No appenders could be found for logger (kg.apc.perfmon.PerfMonWorker).
12-09
根据提供的引用内容,出现“log4j:WARN No appenders could be found for logger”这个提示是因为log4j没有找到任何appender来输出日志信息。解决这个问题的方法是在log4j.properties文件中配置appender。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值