Windows 进程APC学习笔记

最新推荐文章于 2024-05-30 09:53:16 发布
最新推荐文章于 2024-05-30 09:53:16 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: Windows系统原理 文章标签: windows struct winapi thread 框架 function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/without2002/article/details/6737650
版权

学习Windows进程,APC肯定少不了啦。

PS:由于本人才疏智浅,本文仅为个人学习笔记,如有错误,希望大牛不吝赐教。

下面是我学习APC的一点笔记。

1、什么是APC
APC就是异步过程调用的所写。据说PE格式DLL映像的装入和动态连接就是由ntdll.dll中的函数LdrInitializeThunk作为APC函数执行完成的(这个还没具体研究)。

2、QueueUserAPC():
Win32API提供了一个函数,用于应用层的APC插入。

		DWORD WINAPI QueueUserAPC(
		  __in          PAPCFUNC pfnAPC,
		  __in          HANDLE hThread,
		  __in          ULONG_PTR dwData
		);
该API下面会调用NtQueueApcThread()系统调用,参考ReactOS源代码调用如下: 

	DWORD WINAPI QueueUserAPC(__in PAPCFUNC pfnAPC, __in HANDLE hThread, __in ULONG_PTR dwData)
	{
		NTSTAUS Status;
		Status = NtQueueApcThread(hThread, IntCallUserApc, pfnAPC, (PVOID)dwData, NULL);
		if(Status)
			...;
		return NT_SUCCESS(Status);
	 }
其中pfnAPC为用户插入的APC,IntCallUserApc是kernel32.dll内部的一个函数,是APC的统一调度接口,后面会详细介绍。


3、APC结构:
APC是针对具体线程的,要求有具体线程执行的。有KTHREAD结构可以看出线程的APC队列;参考WRK的KTHREAD定义

typedef struct _KTHREAD {
			...
    union {
        KAPC_STATE ApcState;					//当前线程在当前进程上下文下的APC队列			
        struct {
            UCHAR ApcStateFill[KAPC_STATE_ACTUAL_LENGTH];
            BOOLEAN ApcQueueable;
            volatile UCHAR NextProcessor;
            volatile UCHAR DeferredProcessor;
            UCHAR AdjustR
最低0.47元/天 解锁文章
开发随笔
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 进程终止的消息标识符
08-20
### Windows 进程终止的消息标识符详解 #### 标题与描述解读 “Windows 进程终止的消息标识符”这一标题直接指出了本文档的主要内容:Windows操作系统中进程终止时所涉及的一些特定消息标识符。这些标识符对于理解...
injection:Windows进程注入方法
07-24
Windows进程注入是软件开发中的一个高级技术,常用于调试、监控、恶意软件活动等多种场景。在Windows操作系统中,进程注入允许一个进程将代码或数据注入到另一个正在运行的进程中,从而影响其行为。这种方法通常涉及...
Windows APC学习笔记(二)—— 挂入过程&执行过程
qq_41988448的博客
02-29 1284
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
OSR文档:NT中的异步过程调用(APC)
zafair的专栏
10-28 3342
Windows NT中,APC被无数次地提到,但在标准Microsoft DDK中却没有说明什么是APC以及应该怎么使用。但是理解APC是理解Windows NT怎么工作的本质。     当然,毫无疑问你们一定知道一些完全支持APC的Win32 API(比如QueueUserApc这个Win32 API函数)。Windows NT平台的Win32 APC抽象是建立在内核中的本地APC支持之上的。
探索隐蔽代码注入:NtQueueApcThreadEx NTDLL Gadget Injection
最新发布
gitblog_00027的博客
05-30 303
探索隐蔽代码注入:NtQueueApcThreadEx NTDLL Gadget Injection 项目地址:https://gitcode.com/LloydLabs/ntqueueapcthreadex-ntdll-gadget-injection 在这个数字化时代,安全攻防战日益激烈。为了提升攻击的隐蔽性和效率,黑客和安全研究员们不断探索新的技术手段。今天,我们要引入一个独特的开源项目——...
Windows内核编程学习笔记---设备I/O
bobbypeng的专栏
05-31 2367
<br />下面介绍一下设备和它们最常见的用途:<br />设备<br />最常见的用途<br />文件<br />任意数据的持久存储<br />目录<br />属性和文件压缩<br />逻辑磁盘<br />格式化<br />物理磁盘<br />分区表访问<br />串行口<br />通过电话线传输数据<br />并行口<br />向打印机传送数据<br />邮件槽<br />一对多的传输数据,通常通过网络向一台Windows机器传输<br />命名管道<br />一对一的传输数据,通常通过网络向一台Win
win32编程里面的APC怎么用?
李勇的专栏
11-21 1014
#include int main(){ printf( "hello world"); return 0; } 百度首页 特大号字
漫谈兼容内核之十二:WindowsAPC机制
周寅的专栏
03-13 3069
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了WindowsAPC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,WindowsAPC机制相当于Linux的Signal机
Apc.rar_APC_windows APC
09-23
**异步过程调用(Asynchronous Procedure Calls, APC)**是Windows操作系统中的一种核心机制,用于在执行上下文之间传递控制,特别是在线程之间。APC主要用于实现非阻塞I/O操作,提高系统的并发性能。本文档《Apc.rar_...
学习windows内核,保护模式、进程、线程、内存、APC、DPC、同步与异步、windows异常机制.zip
04-20
windows 1. 要进行Python开发,首先需要Python解释器,这里说的安装Python就是安装Python解释器。 2. 能提供Python环境的产品有官网提供的Cpython,它是由C语言写的。还有PyPy及Jython等,Jython是基于java实现的...
windows版php apc cached扩展dll
04-16
2. **共享内存**:APC扩展利用共享内存来存储缓存数据,使得多个PHP进程可以同时访问,提高了数据访问速度。 3. **变量缓存**:除了缓存opcode,APC还支持用户级别的数据缓存,允许开发者将常用的数据存储在内存中...
WindowsAPC机制.pdf
08-27
毛德操写的有关APC机制的资料,如果想写高效的windows程序,不妨参考一下。。
Windows DLL基本原理
helloworld201456的专栏
06-09 4388
Windows DLL基本原理 Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Microsoft
windows 内核原理与实现读书笔记APC(异步过程调用)
maomao171314的专栏
11-24 1236
APC(异步过程调用) APC_LEVEL ,APC(异步过程调用,Asynchronous Procedure Call)的软件中断而保留的IRQL。 DPC是系统全局的,每个处理器都有DPC链表;APC是针对线程的,每个线程都有自己特有的APC链表。APC线程优先于普通的线程代码。 APC 对象定义如下: typedef struct _KAPC { CSHORT Type; CSHORT Size; ULONG Sp...
Windows APC学习笔记(一)—— APC的本质&备用APC队列
qq_41988448的博客
01-12 2897
Windows APC机制学习笔记(一)—— APC的本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
Windows11_22H2下的APC机制分析
lkylky123789的博客
01-04 1073
APC机制分析
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4396
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行的
Windows 动态注入(远程线程、消息钩子、APC
wangluoanquan111的博客
02-28 1138
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…一个比较关键的问题是创建的远程线程是在目标进程中执行,无法调用本地函数,因此要利用系统API实现加载dll文件的操作。
APC注入以及几种实现方式
include_voidmain的博客
08-02 2060
APC注入以及几种实现方式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值