线程的主动切换——KiSwapThread&KiSwapContext逆向

最新推荐文章于 2023-12-24 16:55:55 发布
最新推荐文章于 2023-12-24 16:55:55 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Windows内核 文章标签: 安全 c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678798/article/details/126152154
版权

线程的切换分为主动切换和被动切换两种方式
主动切换主要是通过KiSwapThread进行的。
KiSwapThread逆向

.text:004050BF 8B FF                         mov     edi, edi
.text:004050C1 56                            push    esi
.text:004050C2 57                            push    edi
.text:004050C3                               db      3Eh                             ; eax=prcb
.text:004050C3 3E A1 20 F0 DF FF             mov     eax, ds:0FFDFF020h
.text:004050C9 8B F0                         mov     esi, eax
.text:004050CB 8B 46 08                      mov     eax, [esi+_KPRCB.NextThread]
.text:004050CE 85 C0                         test    eax, eax                        ; 判断是否为空
.text:004050D0 8B 7E 04                      mov     edi, [esi+_KPRCB.CurrentThread]
.text:004050D3 0F 85 D6 B8 00 00             jnz     loc_4109AF

1.首先判断下个线程是否为空

.text:004050D9 53                            push    ebx
.text:004050DA 0F BE 5E 10                   movsx   ebx, [esi+_KPRCB.Number]        ; 判断kpcr在哪个核上
.text:004050DE 33 D2                         xor     edx, edx
.text:004050E0 8B CB                         mov     ecx, ebx
.text:004050E2 E8 6B FF FF FF                call    @KiFindReadyThread@8            ; 寻找一个可以执行在当前核上的线程
.text:004050E2
.text:004050E7 85 C0                         test    eax, eax                        ; 判断是否找到
.text:004050E9 0F 84 96 99 00 00             jz      loc_40EA85                      ; 空闲线程

2.寻找到一个可以运行在当前核上的线程,通过KiFindReadyThread在就绪态的线程中寻找,如果找不到则在空闲线程中寻址。无论通过哪种方式eax等于下个线程的位置

.text:004050EF 5B                            pop     ebx
.text:004050EF
.text:004050F0
.text:004050F0                               loc_4050F0:                             ; CODE XREF: KiSwapThread()+B8F4↓j
.text:004050F0 8B C8                         mov     ecx, eax                        ; 下一个线程
.text:004050F2 E8 31 F7 FF FF                call    @KiSwapContext@4                ; KiSwapContext(x)

3.然后调用KiSwapContext进行上下文的交换,最后再进行一些寄存器值的交换,到这里线程切换结束。

KiSwapContext逆向

.text:00404828 83 EC 10                      sub     esp, 10h
.text:0040482B 89 5C 24 0C                   mov     [esp+10h+var_4], ebx
.text:0040482F 89 74 24 08                   mov     [esp+10h+var_8], esi            ; ecx 下一个线程
.text:00404833 89 7C 24 04                   mov     [esp+10h+var_C], edi
.text:00404837 89 2C 24                      mov     [esp+10h+var_10], ebp
.text:0040483A 8B 1D 1C F0 DF FF             mov     ebx, ds:0FFDFF01Ch              ; kpcr.selfpcr
.text:00404840 8B F1                         mov     esi, ecx
.text:00404842 8B BB 24 01 00 00             mov     edi, [ebx+_KPCR.PrcbData.CurrentThread]
.text:00404848 89 B3 24 01 00 00             mov     [ebx+_KPCR.PrcbData.CurrentThread], esi ; 把当前线程设为下个线程
.text:0040484E 8A 4F 58                      mov     cl, [edi+_ETHREAD.Tcb.WaitIrql] ; 等待Irpl
.text:00404851 E8 CE 00 00 00                call    SwapContext
.text:00404851
.text:00404856 8B 2C 24                      mov     ebp, [esp+10h+var_10]
.text:00404859 8B 7C 24 04                   mov     edi, [esp+10h+var_C]
.text:0040485D 8B 74 24 08                   mov     esi, [esp+10h+var_8]
.text:00404861 8B 5C 24 0C                   mov     ebx, [esp+10h+var_4]
.text:00404865 83 C4 10                      add     esp, 10h
.text:00404868 C3                            retn

4.KiSwapContext首先把KPCR结构中的CurrentThread设置为寻找到的新线程,然后调用SwapContext

SwapContext

.text:00404924 0A C9                         or      cl, cl
.text:00404926 26 C6 46 2D 02                mov     es:[esi+_ETHREAD.Tcb.State], 2  ; 修改线程的状态
.text:00404926                                                                       ; esi等于下个线程
.text:0040492B 9C                            pushf
.text:0040492B
.text:0040492C
.text:0040492C                               loc_40492C:                             ; CODE XREF: KiIdleLoop()+5A↓j
.text:0040492C 8B 0B                         mov     ecx, [ebx+_KPCR.NtTib.ExceptionList]
.text:0040492E 83 BB 94 09 00 00 00          cmp     [ebx+_KPCR.PrcbData.DpcRoutineActive], 0 ; 判断当前cpu是否正在执行dpc
.text:00404935 51                            push    ecx                             ; 异常链压栈
.text:00404936 0F 85 34 01 00 00             jnz     loc_404A70                      ; 如果dpc执行,则kebugcheck蓝屏
.text:00404936
.text:0040493C 83 3D 0C B1 48 00 00          cmp     ds:_PPerfGlobalGroupMask, 0
.text:00404943 0F 85 FE 00 00 00             jnz     loc_404A47

5.SwapContext首先修改线程的状态,然后判断DpcRoutineActive和PPerfGlobalGroupMask。

.text:00404949 0F 20 C5                      mov     ebp, cr0
.text:0040494C 8B D5                         mov     edx, ebp
.text:0040494E 8A 4E 2C                      mov     cl, [esi+_ETHREAD.Tcb.DebugActive]
.text:00404951 88 4B 50                      mov     [ebx+_KPCR.DebugActive], cl     ; 设置KPCR的DebugActive
.text:00404954 FA                            cli                                     ; 关中断
.text:00404955 89 67 28                      mov     [edi+_ETHREAD.Tcb.KernelStack], esp ; 保存之前的esp
.text:00404955                                                                       ; edi交换之前的线程
.text:00404958 8B 46 18                      mov     eax, [esi+_ETHREAD.Tcb.InitialStack]
.text:0040495B 8B 4E 1C                      mov     ecx, [esi+_ETHREAD.Tcb.StackLimit]
.text:0040495E 2D 10 02 00 00                sub     eax, 210h                       ; init陷阱桢大小
.text:00404963 89 4B 08                      mov     [ebx+_KPCR.NtTib.StackLimit], ecx
.text:00404966 89 43 04                      mov     [ebx+_KPCR.NtTib.StackBase], eax ; 初始化栈
.text:00404969 33 C9                         xor     ecx, ecx
.text:0040496B 8A 4E 31                      mov     cl, [esi+_ETHREAD.Tcb.NpxState] ; 浮点寄存器状态
.text:0040496E 83 E2 F1                      and     edx, 0FFFFFFF1h                 ; 关闭CR0的一些位
.text:00404971 0B CA                         or      ecx, edx
.text:00404973 0B 88 0C 02 00 00             or      ecx, [eax+_FX_SAVE_AREA.Cr0NpxState]
.text:00404979 3B E9                         cmp     ebp, ecx                        ; 判断Cr0NpxState和cr0de值是否相等
.text:0040497B 0F 85 BE 00 00 00             jnz     loc_404A3F                      ; 不相等则赋值给cr0
.text:0040497B
.text:00404981 8D 09                         lea     ecx, [ecx]

6.设置DebugActive,并对CR0进行一些列操作

.text:00404983                               loc_404983:                             ; CODE XREF: SwapContext+11E↓j
.text:00404983 F7 40 E4 00 00 02 00          test    dword ptr [eax-1Ch], 20000h     ; 陷阱桢-1c == EFLAGS
.text:0040498A 75 03                         jnz     short loc_40498F                ; 判断是否虚拟模式
.text:0040498A
.text:0040498C 83 E8 10                      sub     eax, 10h                        ; eax = HardwareSegSs
.text:0040498C
.text:0040498F
.text:0040498F                               loc_40498F:                             ; CODE XREF: SwapContext+66↑j
.text:0040498F 8B 4B 40                      mov     ecx, [ebx+_KPCR.TSS]
.text:00404992 89 41 04                      mov     [ecx+_KTSS.Esp0], eax           ; esp0 = HardwareSegSs
.text:00404995 8B 66 28                      mov     esp, [esi+_ETHREAD.Tcb.KernelStack]
.text:00404998 8B 46 20                      mov     eax, [esi+_ETHREAD.Tcb.Teb]
.text:0040499B 89 43 18                      mov     [ebx+_KPCR.NtTib.Self], eax     ; teb放入 nttib
.text:0040499E FB                            sti

7.进行堆栈初始化以及堆栈修改操作

.text:0040499F 8B 47 44                      mov     eax, [edi+_ETHREAD.Tcb.ApcState.Process]
.text:004049A2 3B 46 44                      cmp     eax, [esi+_ETHREAD.Tcb.ApcState.Process] ; 判断新线程和旧线程是否处于同一个进程中
.text:004049A5 C6 47 50 00                   mov     [edi+_ETHREAD.Tcb.IdleSwapBlock], 0 ; 设置锁
.text:004049A9 74 2C                         jz      short loc_4049D7
.text:004049AB 8B 7E 44                      mov     edi, [esi+_ETHREAD.Tcb.ApcState.Process]
.text:004049AE 66 F7 47 20 FF FF             test    [edi+_EPROCESS.Pcb.LdtDescriptor.LimitLow], 0FFFFh
.text:004049B4 75 5B                         jnz     short loc_404A11                ; 判断是否dos系统
.text:004049B4
.text:004049B6 33 C0                         xor     eax, eax
.text:004049B6
.text:004049B8
.text:004049B8                               loc_4049B8:                             ; CODE XREF: SwapContext+116↓j
.text:004049B8 0F 00 D0                      lldt    ax                              ; 加载LDTR段描述符 0
.text:004049BB 33 C0                         xor     eax, eax
.text:004049BD 8E E8                         mov     gs, eax
.text:004049BF                               assume gs:GAP
.text:004049BF 8B 47 18                      mov     eax, [edi+_EPROCESS.Pcb.DirectoryTableBase] ; 活动新线程的活动进程的cr3
.text:004049C2 8B 6B 40                      mov     ebp, [ebx+_KPCR.TSS]
.text:004049C5 8B 4F 30                      mov     ecx, dword ptr [edi+_EPROCESS.Pcb.IopmOffset] ; IOPM位置(I/O权限表)
.text:004049C8 89 45 1C                      mov     [ebp+_KTSS.CR3], eax            ; 修改CR3
.text:004049CB 0F 22 D8                      mov     cr3, eax
.text:004049CE 66 89 4D 66                   mov     [ebp+_KTSS.IoMapBase], cx       ; 填入I/O权限表
.text:004049D2 EB 03                         jmp     short loc_4049D7

.text:004049D7                               loc_4049D7:                             ; CODE XREF: SwapContext+85↑j
.text:004049D7                                                                       ; SwapContext+AE↑j
.text:004049D7 8B 43 18                      mov     eax, [ebx+_KPCR.NtTib.Self]
.text:004049DA 8B 4B 3C                      mov     ecx, [ebx+_KPCR.GDT]
.text:004049DD 66 89 41 3A                   mov     [ecx+3Ah], ax
.text:004049E1 C1 E8 10                      shr     eax, 10h
.text:004049E4 88 41 3C                      mov     [ecx+3Ch], al
.text:004049E7 88 61 3F                      mov     [ecx+3Fh], ah                   ; 修改fs
.text:004049EA FF 46 4C                      inc     [esi+_ETHREAD.Tcb.ContextSwitches] ; 环境切换次数加1
.text:004049ED FF 83 1C 06 00 00             inc     [ebx+_KPCR.PrcbData.KeContextSwitches] ; KPCR记录的切换次数+1
.text:004049F3 59                            pop     ecx
.text:004049F4 89 0B                         mov     [ebx+_KPCR.NtTib.ExceptionList], ecx ; 修改异常链
.text:004049F6 80 7E 49 00                   cmp     [esi+_ETHREAD.Tcb.ApcState.KernelApcPending], 0 ; 判断有内核模式APC 对象正在等待交付
.text:004049FA 75 04                         jnz     short loc_404A00
.text:004049FA
.text:004049FC 9D                            popf
.text:004049FD 33 C0                         xor     eax, eax
.text:004049FF C3                            retn

8.判断新线程和旧线程是否在一个进程内,如果在一个进程内,修改FS设置一些值返回。如果不在一个进程内,则修改CR3并在tss中填入IOPM位置

Windows内核之模拟线程切换(附源码)
挖树
03-19 951
Windows内核之线程切换 目录 文章目录目录模拟线程切换总结线程切换_主动切换总结:时钟中断切换总结:时间片管理线程优先级调度链表(32个)如何高效查找 模拟线程切换 实验代码(海东老师的代码,I’m 搬运工) 核心代码: mov [esi+GMThread_t.KernelStack], esp //经典线程切换,另外一个线程复活 mov esp, [edi+GMThread_t.Ker...
6.windows线程切换_主动切换
My classmates
10-19 1264
ida 分析KiSwapThread sub esp, 10h mov [esp+10h+var_4], ebx ;保存当前线程寄存器现场 mov [esp+10h+var_8], esi mov [esp+10h+var_C], edi mov [esp+10h+var_10], ebp mov ebx, ds:0FFDFF01Ch mov ...
Windows线程(模拟线程切换主动切换、时钟中断切换、时间片管理、TSS、FS、线程优先级)
qq_18811919的博客
04-17 1973
ThreadSwitch源码分析 线程结构体(ThreadSwitch源码仿照EHREAD) typedef struct { char *name;//线程名 相当于线程TID int Flags;//线程状态 int SleepMillisecondDot;//休眠时间 void *InitialStack;//线程堆栈起始位置 void *StackLimit;//线程堆栈界限 void *KernelStack;//线程堆栈当前位置,也就是ESP void *lpParameter;/
08 分析KiSwapThread、KiSwapContext、SwapContext(没有分析完....)
qq_50242229的博客
05-10 249
【代码】08 分析KiSwapThread、KiSwapContext、SwapContext(没有分析完....)
线程切换 ——逆向分析 KiSwapThread
walker的博客
03-14 689
简介 在 Windows 内核中,线程切换是通过 API 函数 KiSwapThread 实现获取将要执行的线程 _KTHREAD 结构体指针,再调用 KiSwapContex/SwapContex 函数实现线程上下文的切换,以实现线程切换。 KiSwapThread/KiSwapContex/SwapContex 直接的调用关系如下: KiSwapThread 内核函数 KiSwapThread 的汇编代码分析如下: .text:004050BF ; =============== S U B
C++线程的详细示例,线程的创建与多线程切换
08-18
C++的一个多线程的例子,尤其适合线程的初学者,帮助理解线程的创建与用法
dpc与线程切换
u010607621的博客
12-24 1132
因为一则用户态的程序没办法干扰这个呼出流程,二则如果不能呼出任务管理器来终止进程或者呼出windbg等工具进行观察调试的话,其实排查的方法也跟windows卡死是一致的——触发scrolllock蓝屏。大部分代码运行在被动级别上,线程切换流程里的某个阶段和dpc的DeferredRoutine处理是运行在dpc级别上,硬件中断都更高。上文的90对应的函数i8042prt!同样是按键后的反应,为什么在ctrl+alt+del不能呼出的场景下,scrolllock蓝屏还能够触发,也是一个获取关键知识的方向。
8.Windows线程切换_时间片管理
My classmates
10-20 3533
时钟中断会导致线程进行切换,但并不是说只要有时钟中断就一定会切换线程,时钟中断时,两种情况会导致线程切换: 当前的线程CPU时间片到期 有备用线程(KPCR.PrcbData.NextThread) 关于CPU时间片 当一个新的线程开始执行时,初始化程序会在KTHREAD.Quantum赋初始值,该值的大小由KPROCESS.ThreadQuantum决定(观察ThreadQuantum大小...
Windows系统的线程调度与软件中断分发
lziog的专栏
08-29 2674
Windows操作系统内核把软件中断分为三个中断级别:DISPATCH_LEVEL,APC_LEVEL,PASSVIE_LEVEL。同时他们与线程的调试相关,WINDOWS内核中没有一个专门的程序来做线程的调度工作,它是散落在系统各个部分的。总结一下主要以下几种情况。
KiSwapThread逆向分析
qq_45844442的博客
07-03 623
这个函数主要功能是寻找一个新的线程,然后切换线程并判断是否是同一进程,进而判断是否要切换CR3,而切换线程的本质就是切换堆栈也就是esp(从下面的分析图片中可以看出)在这个函数当中会有很多与主线无关的汇编代码,但是并不影响主线的分析,所以基本遇到这种直接跳过,那么我们接下来说一下主线的逆向分析结果。
win32拦截SwapContext函数
06-12
拦截swapcontext函数,处理线程切换
线程切换 —— 逆向分析 KiSwapContex/SwapContex
walker的博客
03-14 452
简介 在 Windows 内核中,线程切换是通过底层内核 API 函数 KiSwapContex/SwapContex 实现的。 KiSwapContex KiSwapContex 的逆向分析如下: .text:00404828 ; =============== S U B R O U T I N E ======================================= .text:00404828 .text:00404828 .text:00404828 ; __fastcall KiS
围绕SwapContext的一点代码
futosky的专栏
03-21 1011
这次的胡乱探究原因在于看到了一个08年的帖子: · 标 题:HOOK SwapContext 枚举隐藏进程(学习笔记4) · 作 者:bzhkl · 时 间:2008-12-11 12:01 · 链 接:http://bbs.pediy.com/showthread.php?t=78464 都是很老的东西了,可惜很菜才开始关注 这篇帖子讲了HOOK SwapCo
隐藏进程
yaneng的专栏
06-18 1215
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之中(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
(转载)获取Windows 系统的内核变量
Kendiv's Box
11-12 1954
获取Windows 系统的内核变量转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内核变量作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]com        tombkeeper[0x40]xfocus[0x
线程调度
_STONER_
06-28 414
WrkKiSwapThread(OldThread, CurrentPrcb) { //单核:从Prcb拿一个新线程,如果没有就选(KiSelectReadyThread)一个,如果再没有就拿Idle NewThread = CurrentPrcb->NextThread //多核:自己还是没有可执行的线程就从其他核去拿,如果有就得看是不是Idle,要是Id
进程线程005 SwapContext函数分析
鬼手的博客
02-12 3202
文章目录线程切换与TSS内核堆栈内核堆栈结构调用API进零环SwapContext代码分析线程切换与FSSwapContext代码分析SwapContext的其他问题SwapContext有几个参数 怎么判断出来的?SwapContext在哪里实现了线程切换?0环的ExceptionList是在哪里备份的 线程切换与TSS SwapContext这个函数是Windows线程切换的核心,无论是主动切...
windows内核情景分析 --- DPC
maomao171314的专栏
04-04 4101
DPC不同APC,DPC的全名是‘延迟过程调用’。 DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不能消耗过多时间,否则会导致系统丢失大量其他中断。但是有的中断,其中断服务例程要做的事情本来就很多,那怎么办?于是,可以在中断服务例程中先执行最紧迫的那部分工作,然后把剩余的相对来说不那么重要的工作移入到D
pjf获得SwapContext地址方法的解析
misterliwei的专栏
12-21 5663
pjf获得SwapContext地址方法的解析 在用hook SwapContext法来检查隐藏进程时,首要条件是获得SwapContext的地址。Pjf在博文 ([1]) 中提出了使用线程KernelStack中保存的地址来获得SwapContext地址的方法。本文主要来解析此法。注意本文中正在运行的、即将被换出的线程我们称为旧线程;即将换进的线程称为新线程。 SwapConte
STACK_TEXT: fffff888`97bd6e98 fffff800`e268cee9 : 00000000`0000000a 00000000`40002208 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx fffff888`97bd6ea0 fffff800`e26881a8 : 025fa47f`b19bbfff fffff800`e2680eec ffffbd8a`1ec97ac0 00000000`00000011 : nt!KiBugCheckDispatch+0x69 fffff888`97bd6fe0 fffff800`e2343814 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x468 fffff888`97bd7170 fffff800`e2272d83 : 00000000`00000000 00000000`00000000 00000000`40002208 fffff800`000000da : nt!KiSwapThread+0x9a4 fffff888`97bd7200 fffff800`e2370b56 : ffff8080`bb160180 ffffbd8a`34733040 ffffbd8a`00000000 00000000`00000000 : nt!KiCommitThreadWait+0x483 fffff888`97bd7290 fffff800`e23703e6 : ffffbd8a`34733040 00000000`00000000 ffffbd8a`34733000 fffff888`00000000 : nt!KeRemovePriQueue+0x1e6 fffff888`97bd7300 fffff800`e245594a : ffffbd8a`34733040 ffffbd8a`34733040 fffff800`e2370300 ffffc587`94544af0 : nt!ExpWorkerThread+0xe6 fffff888`97bd74b0 fffff800`e267a004 : ffff8080`bb160180 ffffbd8a`34733040 fffff800`e24558f0 00000000`00000246 : nt!PspSystemThreadStartup+0x5a fffff888`97bd7500 00000000`00000000 : fffff888`97bd8000 fffff888`97bd1000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34 根据这个能分析蓝屏指向吗
最新发布
03-22
然后看后面的调用栈,KiSwapThread和KiCommitThreadWait可能与线程切换和等待有关,可能涉及线程同步的问题。接着是KeRemovePriQueue和ExpWorkerThread,这些是系统工作线程相关的函数,可能涉及到系统线程处理任务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值