线程切换 ——逆向分析 KiSwapThread

最新推荐文章于 2024-04-10 16:03:31 发布
最新推荐文章于 2024-04-10 16:03:31 发布
阅读量590 收藏
点赞数
分类专栏: Windows内核 文章标签: 安全 内核 windows c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43890959/article/details/114791382
版权

简介

Windows 内核中,线程的切换是通过 API 函数 KiSwapThread 实现获取将要执行的线程 _KTHREAD 结构体指针,再调用 KiSwapContex/SwapContex 函数实现线程上下文的切换,以实现线程的切换。


KiSwapThread/KiSwapContex/SwapContex 直接的调用关系如下:

在这里插入图片描述


KiSwapThread


内核函数 KiSwapThread 的汇编代码分析如下:

.text:004050BF ; =============== S U B R O U T I N E =======================================
.text:004050BF
.text:004050BF
.text:004050BF ; _DWORD __cdecl KiSwapThread()
.text:004050BF @KiSwapThread@0 proc near               ; CODE XREF: KeDelayExecutionThread(x,x,x):loc_405017↑p
.text:004050BF                                         ; KeWaitForSingleObject(x,x,x,x,x):loc_40513E↓p ...
.text:004050BF
.text:004050BF ; FUNCTION CHUNK AT .text:0040EA85 SIZE 00000015 BYTES
.text:004050BF ; FUNCTION CHUNK AT .text:004109AF SIZE 00000009 BYTES
.text:004050BF
.text:004050BF                 mov     edi, edi
.text:004050C1                 push    esi
.text:004050C2                 push    edi
.text:004050C3                 db      3Eh             ; EAX指向_KPRCB
.text:004050C3                 mov     eax, ds:0FFDFF020h
.text:004050C9                 mov     esi, eax        ; ESI指向_KPCR._KPRCB结构体
.text:004050CB                 mov     eax, [esi+_KPCR._KPRCB.NextThread] 
													   ; EAX获取NextThread的_KTHREAD地址
.text:004050CE                 test    eax, eax        ; 判断NextThread是否为空
.text:004050D0                 mov     edi, [esi+_KPCR._KPRCB.CurrentThread] 
													   ; EDI将会指向当前线程的_KTHREAD
.text:004050D3                 jnz     loc_4109AF      ; 已经获取到NextThread
.text:004050D3                                         ; 将_KPCR._KPRCB.NextThread的值清空
.text:004050D9                 push    ebx             ; 未获取到NextThread的_KTHREAD
.text:004050D9                                         ; 说明当前的CPU中没有其他就绪线程
.text:004050DA                 movsx   ebx, byte ptr [esi+_KPCR._KPRCB.Number] ; 获取CPU的编号
.text:004050DE                 xor     edx, edx
.text:004050E0                 mov     ecx, ebx
.text:004050E2                 call    @KiFindReadyThread@8 ; 在线程就绪队列中寻找就绪线程
.text:004050E7                 test    eax, eax        ; EAX是指向就绪线程_KTHREAD的指针
.text:004050E9                 jz      loc_40EA85      
											; EAX的值为空, 表示此时还没有就绪线程, 将会默认执行空闲线程
.text:004050E9                                         ; EAX将会获取到空闲线程的_KTHREAD
.text:004050EF
.text:004050EF loc_4050EF:                             ; CODE XREF: KiSwapThread()+99D6↓j
.text:004050EF                 pop     ebx             ; 已经获取到就绪线程
.text:004050EF                                         ; 就绪线程的_KTHRTEAD存储在EAX中
.text:004050F0
.text:004050F0 loc_4050F0:                             ; CODE XREF: KiSwapThread()+B8F4↓j
.text:004050F0                 mov     ecx, eax        ; 此时已经获取到将要执行的线程的_KTHREAD
.text:004050F0                                         ; EAX指向要切换的线程的_KTHREAD
.text:004050F2                 call    @KiSwapContext@4 ; 调用线程上下文切换函数
.text:004050F2                                         ; 该函数只有一个参数, 即ECX指向要切换的线程_KTHREAD
.text:004050F7                 test    al, al
.text:004050F9                 mov     cl, [edi+_KTHREAD.WaitIrql] ; NewIrql
.text:004050FC                 mov     edi, [edi+_KTHREAD.WaitStatus]
.text:004050FF                 mov     esi, ds:__imp_@KfLowerIrql@4 ; KfLowerIrql(x)
.text:00405105                 jnz     loc_415ADB
.text:0040510B
.text:0040510B loc_40510B:                             ; CODE XREF: IopCompleteRequest(x,x,x,x,x)+24A↓j
.text:0040510B                 call    esi ; KfLowerIrql(x) ; KfLowerIrql(x)
.text:0040510D                 mov     eax, edi
.text:0040510F                 pop     edi
.text:00405110                 pop     esi
.text:00405111                 retn
.text:00405111 @KiSwapThread@0 endp

函数逻辑流程图


函数 KiSwapThread 的逻辑流程图如下:
在这里插入图片描述

walker-n
关注
专栏目录
逆向——进程、线程调试总结
SinceY2015
05-02 4190
1      进程 1.1    需要调试进程的几种情况: 1)        正常的单进程调试 2)        父进程生成子进程: a)        创建子进程时挂起状态,然后写入代码执行 b)        执行新文件(可能是新生成的文件) 3)        进程注入 创建新进程,代码注入 代码注入系统进程 1.2    针对每种调试的具体解决方法(通用方法——>逐步
dpc与线程切换
u010607621的博客
12-24 1066
因为一则用户态的程序没办法干扰这个呼出流程,二则如果不能呼出任务管理器来终止进程或者呼出windbg等工具进行观察调试的话,其实排查的方法也跟windows卡死是一致的——触发scrolllock蓝屏。大部分代码运行在被动级别上,线程切换流程里的某个阶段和dpc的DeferredRoutine处理是运行在dpc级别上,硬件中断都更高。上文的90对应的函数i8042prt!同样是按键后的反应,为什么在ctrl+alt+del不能呼出的场景下,scrolllock蓝屏还能够触发,也是一个获取关键知识的方向。
08 分析KiSwapThreadKiSwapContext、SwapContext(没有分析完....)
qq_50242229的博客
05-10 179
【代码】08 分析KiSwapThreadKiSwapContext、SwapContext(没有分析完....)
线程切换 —— 逆向分析 KiSwapContex/SwapContex
walker的博客
03-14 393
简介 在 Windows 内核中,线程切换是通过底层内核 API 函数 KiSwapContex/SwapContex 实现的。 KiSwapContex KiSwapContex 的逆向分析如下: .text:00404828 ; =============== S U B R O U T I N E ======================================= .text:00404828 .text:00404828 .text:00404828 ; __fastcall KiS
逆向技术入门之主线程调用防止软件崩溃
最新发布
douluo998的博客
04-10 586
每条线程是独立的,但是虽然是独立的线程,也要有一定的原则,线程线程之间不可以产生数据访问或则逻辑等冲突,否则会导致游戏软件崩溃以及不可预知的错误。变成了现在的 向主线程发送消息 让窗口回调函数帮你调用 ,需要提前做的就是 重置窗口回调函数以及在窗口回调函数中写入你要调用的代码即可。if (lpArg->hwnd==Call_获取窗口句柄()&&lpArg->message==g_My消息ID)//我们自己的消息。Call_明文发包(封包->nd包长,封包->p);
KiSwapThread逆向分析
qq_45844442的博客
07-03 560
这个函数主要功能是寻找一个新的线程,然后切换线程并判断是否是同一进程,进而判断是否要切换CR3,而切换线程的本质就是切换堆栈也就是esp(从下面的分析图片中可以看出)在这个函数当中会有很多与主线无关的汇编代码,但是并不影响主线的分析,所以基本遇到这种直接跳过,那么我们接下来说一下主线的逆向分析结果。
windows线程没那么难
vpoet
06-25 2320
windows线程没那么难 作者:vpoet mail:18200268879@163.com 上一博文中我们引入了CreateThread()多线程编程一个简单的例子,事实上我说windows线程没那么难,那是为了安慰你,但是不要怕,困难时让人克服的。再大的困难也难不 倒英雄的中国程序员。 下面我又要介绍一个多线程的问题: 我们首先看一个Demo,经典
Windows内核之模拟线程切换(附源码)
挖树
03-19 812
Windows内核线程切换 目录 文章目录目录模拟线程切换总结线程切换_主动切换总结:时钟中断切换总结:时间片管理线程优先级调度链表(32个)如何高效查找 模拟线程切换 实验代码(海东老师的代码,I’m 搬运工) 核心代码: mov [esi+GMThread_t.KernelStack], esp //经典线程切换,另外一个线程复活 mov esp, [edi+GMThread_t.Ker...
6.windows线程切换_主动切换
My classmates
10-19 1223
ida 分析KiSwapThread sub esp, 10h mov [esp+10h+var_4], ebx ;保存当前线程寄存器现场 mov [esp+10h+var_8], esi mov [esp+10h+var_C], edi mov [esp+10h+var_10], ebp mov ebx, ds:0FFDFF01Ch mov ...
8.Windows线程切换_时间片管理
My classmates
10-20 3413
时钟中断会导致线程进行切换,但并不是说只要有时钟中断就一定会切换线程,时钟中断时,两种情况会导致线程切换: 当前的线程CPU时间片到期 有备用线程(KPCR.PrcbData.NextThread) 关于CPU时间片 当一个新的线程开始执行时,初始化程序会在KTHREAD.Quantum赋初始值,该值的大小由KPROCESS.ThreadQuantum决定(观察ThreadQuantum大小...
Windbg 2进程线程结构分析
fei1160688828的专栏
12-29 874
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有
pthread
tmh_15195862719的博客
08-09 837
 线程的优点:不占用资源,切换效率高,开销小,不存在通信. pthread_create();创建一个线程 参数为 线程线程属性 线程函数 参数 pthread_join();该函数表有两个作用,一是回收线程资源,二是阻塞线程 但在循环结构中不推荐用此结构 pthread_detach();线程分离函数 自动回收线程资源 通常用于循环结构中 最好不要在线程中使用sleep函数,slee...
线程的主动切换——KiSwapThread&KiSwapContext逆向
weixin_45678798的博客
08-04 1140
线程切换分为主动切换和被动切换两种方式 主动切换主要是通过KiSwapThread进行的。
Linux pthread线程操作 和 线程同步与互斥操作
cpp_learner的博客
05-01 2624
介绍线程的使用,信号量 和 互斥量 和 条件变量 和 线程池!
linux 查看哪个进程下有大量的子进程_通俗易懂的了解——Linux线程模型和线程切换...
weixin_33210666的博客
01-30 245
本文从linux中的进程、线程实现原理开始,扩展到linux线程模型,最后简单解释线程切换的成本。linux中的进程与线程首先明确进程与进程的基本概念:进程是资源分配的基本单位线程是CPU调度的基本单位一个进程下可能有多个线程线程共享进程的资源基本原理linux用户态的进程、线程基本满足上述概念,但内核态不区分进程和线程。可以认为,内核中统一执行的是进程,但有些是“普通进程”(对应进程proces...
pthread线程应用介绍
weixin_43580872的博客
05-20 1035
pthread线程使用前言pthread API相关介绍pthread_create()1、pthread_t *thread --> 线程句柄 or 编号2、const pthread_attr_t *attr --> 线程属性设置3、void *(*start_routine) (void *) --> 回调函数4、void *arg --> 线程传入参数pthread_join()pthread_exit()代码实现代码编译总结 前言 一个进程,想要并行处理不同的事情,就可
线程、进程、协议
Alice517的博客
12-19 341
线程 一条线程指的是进程中一个单一顺序的控制流,一个进程中可以并发多个线程,每条线程并行执行不同的任务。 多线程是多任务的一种特别的形式,但多线程使用了更小的资源开销。 这里定义和线程相关的另一个术语 - 进程:一个进程包括由操作系统分配的内存空间,包含一个或多个线程。一个线程不能独立的存在,它必须是进程的一部分。一个进程一直运行,直到所有的非守护线程都结束运行后才能结束。 多线程能满足程序员编写高效率的程序来达到充分利用 CPU 的目的。 一个线程的周期 [外链图片转存失败,源站可能有防盗链机制,建议将
线程调度
_STONER_
06-28 369
WrkKiSwapThread(OldThread, CurrentPrcb) { //单核:从Prcb拿一个新线程,如果没有就选(KiSelectReadyThread)一个,如果再没有就拿Idle NewThread = CurrentPrcb->NextThread //多核:自己还是没有可执行的线程就从其他核去拿,如果有就得看是不是Idle,要是Id
NT 下动态切换进程分析笔记
05-11 1903
Author: sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.orgDate:   2005-11-162005-2-22  在应用层想要动态嵌入其他进程内存空间,我们可以调用 CreateRemoteThread() 等相关函数来实现。那么在内核态想要动态嵌入其他进程内存空间又如何做呢?这时我们需要调用一
Windows进程与线程学习笔记(六)—— 线程切换
qq_41988448的博客
12-06 1205
Windows进程与线程学习笔记(六)—— 线程切换前言主动切换时钟中断异常处理 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 主动切换 Windows中绝大部分API都调用了SwapContext函数,也就是说,当线程只要调用了API,教室导致线程切换 线程切换时会比较是否属于同一个进程,如果不是,切换Cr3,Cr3换了,进程也就...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值