KPCR学习

最新推荐文章于 2023-06-23 22:22:26 发布
最新推荐文章于 2023-06-23 22:22:26 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: windows 内核 文章标签: KPCR CPU控制区 进程与线程笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/82355249
版权
windows 同时被 2 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏

KPCR:CPU控制区(Processor Control Region)

KPCR介绍

KPCR相当于一个副本,存储着线程相关的一些重要信息,这样CPU在处理时就不用查线程了。
1) 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB)

2) 每个CPU都有一个KPCR结构体(一个核一个)

3) KPCR中存储了CPU本身要用的一些重要数据:GDT、IDT以及线程相关的一些信息。

(在winbbg中查看KPCR结构体)

_NT_TIB主要成员介绍

1) +0x000 ExceptionList : Ptr32_EXCEPTION_REGISTRATION_RECORD
当前线程内核异常链表(SEH)

2) +0x004 StackBase : Ptr32 Void
+0x008 StackLimit : Ptr32 Void
当前线程内核栈的基址和大小

3) +0x018 Self : Ptr32 _NT_TIB 

指向自己(也就是指向KPCR结构) 这样设计的目的是为了查找方便

KPCR的其他成员介绍

1) +0x01c SelfPcr : Ptr32 _KPCR
指向自己,方便寻址

2) +0x020 Prcb : Ptr32 _KPRCB
指向拓展结构体PRCB

3) +0x038 IDT : Ptr32 _KIDTENTRY
IDT表基址

4) +0x03c GDT : Ptr32 _KGDTENTRY
GDT表基址

5) +0x040 TSS : Ptr32 _KTSS
指针,指向TSS,每个CPU都有一个TSS.都是指向当前线程的

6) +0x051 Number : UChar
CPU编号:0 1 2 3 4 5。。。

7) +0x120 PrcbData : _KPRCB
拓展结构体

PRCB成员介绍

    +0x004 CurrentThread    : Ptr32 _KTHREAD
    +0x008 NextThread       : Ptr32 _KTHREAD
    +0x00c IdleThread       : Ptr32 _KTHREAD
当前线程

即将切换的下一个线程

空闲线程        

kd> dt _KPCR
ntdll!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x000 Used_ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD
   +0x004 Used_StackBase   : Ptr32 Void
   +0x008 Spare2           : Ptr32 Void
   +0x00c TssCopy          : Ptr32 Void
   +0x010 ContextSwitches  : Uint4B
   +0x014 SetMemberCopy    : Uint4B
   +0x018 Used_Self        : Ptr32 Void
   +0x01c SelfPcr          : Ptr32 _KPCR
   +0x020 Prcb             : Ptr32 _KPRCB
   +0x024 Irql             : UChar
   +0x028 IRR              : Uint4B
   +0x02c IrrActive        : Uint4B
   +0x030 IDR              : Uint4B
   +0x034 KdVersionBlock   : Ptr32 Void
   +0x038 IDT              : Ptr32 _KIDTENTRY
   +0x03c GDT              : Ptr32 _KGDTENTRY
   +0x040 TSS              : Ptr32 _KTSS
   +0x044 MajorVersion     : Uint2B
   +0x046 MinorVersion     : Uint2B
   +0x048 SetMember        : Uint4B
   +0x04c StallScaleFactor : Uint4B
   +0x050 SpareUnused      : UChar
   +0x051 Number           : UChar
   +0x052 Spare0           : UChar
   +0x053 SecondLevelCacheAssociativity : UChar
   +0x054 VdmAlert         : Uint4B
   +0x058 KernelReserved   : [14] Uint4B
   +0x090 SecondLevelCacheSize : Uint4B
   +0x094 HalReserved      : [16] Uint4B
   +0x0d4 InterruptMode    : Uint4B
   +0x0d8 Spare1           : UChar
   +0x0dc KernelReserved2  : [17] Uint4B
   +0x120 PrcbData         : _KPRCB
kd> dt _NT_TIB//3环的TEB也有这个结构体,不过存的是3环的信息
ntdll!_NT_TIB
   +0x000 ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD
   +0x004 StackBase        : Ptr32 Void
   +0x008 StackLimit       : Ptr32 Void
   +0x00c SubSystemTib     : Ptr32 Void
   +0x010 FiberData        : Ptr32 Void
   +0x010 Version          : Uint4B
   +0x014 ArbitraryUserPointer : Ptr32 Void
   +0x018 Self             : Ptr32 _NT_TIB

参考资料

[1] 滴水视频

kernweak
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于KPCR结构的Windows物理内存分析方法.pdf
09-08
介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。
示例驱动程序
11-28
标题 "示例驱动程序" 暗示我们将讨论与创建和操作Windows系统内核级驱动程序相关的内容。在Windows操作系统中,驱动程序是...对于新手来说,强烈建议先从学习官方文档和参加相关的培训开始,逐渐掌握内核编程的技能。
KPCR
qq_41490873的博客
05-28 275
KPCR结构体 CPU临时记录线程信息的一个结构体 kd> dt _kpcr nt!_KPCR +0x000 NtTib : _NT_TIB +0x01c SelfPcr : Ptr32 _KPCR +0x020 Prcb : Ptr32 _KPRCB +0x024 Irql : UChar +0x02...
驱动-KPCR
chengtoreal的博客
03-12 205
KPCR(CPU控制区) KPCR存储CPU本身要用的一些重要数据:GDT、IDT以及线程相关的信息。 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB) 每个CPU都有一个KPCR结构体(一个核一个) windbg指令 dd KiProcessorBlock 查看KPCR KPCR结构体 0x01c SelfPcr 指向KPCR自己 0x020 Prcb 指向拓展的_KPRCB结构体 0x038 IDT IDT表基址 0x03c GDT GDT表基址 0x040
35 进程线程之KPCR
qq_18059143的博客
11-29 351
如果想逆向分析操作系统代码的,需要对段页的汇编代码熟悉,还需要知道三个结构体,进程结构体EPROCESS,ETHREAD,KPCR 下面来介绍KPCR KPCR是描述CPU的,准确说是描述当前正在运行的CPU的数据。 1、KPCR介绍 1) 当线程进入0环时,先切换FS,因为FS指向TEB。FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR...
3.KPCR
史D芬周
02-26 274
3.KPCR KPCR: CPU控制区(Processor Control Region) 当线程进入0环时, FS:[0]指向KPCR(3环时FS[0]-> TEB)每个CPU都有一个KPCR结构体(一个核一个)KPCR中存储了CPU本身要用的一些重要数据: GDT, IDT以及线程相关的一些信息。在winbbg中查看KPCR结构体 ...
chemoactbx.rar_MLR matlab_MLR 光谱_kpcr_matlab NIR_pls
07-15
总的来说,"chemoactbx"工具箱是MATLAB环境下进行化学光谱分析的重要资源,它整合了多种统计学习方法,为科研人员提供了一站式的光谱数据分析工具,对于深入理解和利用光谱数据,特别是在NIR光谱分析领域,具有很高...
适用于初学者的模式识别核方法与支持向量机简介PPT学习教案.pptx
10-06
2. **传统方法改造**:核方法可以改进传统算法,如核主元分析(KPCA)、核主元回归(KPCR)、核部分最小二乘法(KPLS)等,提升在模式识别等领域的性能。 **VC维** VC维是评估学习算法容量的一个概念,表示一个...
精选_内核内存映射文件之获取SSDT函数索引号_源码打包
03-11
代码可能会包含定义KPCR结构体、获取KPCR地址、解析SSDT和查找服务函数的函数。开发者可以通过阅读源码来学习如何在实际项目中实现这一功能。 在进行此类操作时,需要注意权限问题和系统稳定性。直接操作内核数据...
Kernel Methods Toolbox for MatlabOctave.zip
最新发布
07-22
这个工具箱提供了各种核函数和相关的算法,用于支持向量机(SVM)、核主成分分析(KPCA)和其他基于核的学习任务。在机器学习领域,核方法是一种强大的技术,能够将数据映射到高维特征空间,从而在原始低维数据中...
windows第三大结构体--KPCR
qq_30528603的博客
06-23 678
前面我们介绍了windows的两大结构体,一个是进程结构体,一个是线程结构体。KPCR是什么呢,是用于描述CPU的结构体。每一个CPU都有一个这样的结构体来描述CPU干了什么事。这三个成员和线程切换有关,第一个描述了当前在跑的线程,第二个描述了一会要切换的线程是谁,第三个是当没有线程需要执行的时候,执行的空闲线程是谁。在KPCR最后一个成员叫PrcbData,他是一个扩展结构体,也是放了很多有用的信息。1.在当线程切换的时候,也就是线程从3环进入0环时,FS:[0]->TEB切换成KPCR。
Windows内核基础之KPCR
tutucoo
12-07 1106
1.概述 KPCR是CPU的一个结构体,它就像EPROCESS对于进程,ETHREAD对于线程,KPCR对于CPU是非常重要的,它的全称是Processor Control Region。 fs:[0]在3环时指向TEB,在0环时指向KPCR,每一个CPU核心都对应着一个KPCR,KPCR存储了CPU需要使用的一些重要信息,比如GDT\IDT以及线程相关的信息 2.KPCR结构体 nt!_KPCR...
_KPCR&_KPRCB
weixin_45678798的博客
07-31 736
Windows 内核有个特殊的基本要求,当CPU运行在内核上时,FS会指向一个名为KPCR的结构体。从一个CPU 的KPCR 结构出发,可以直接或间接地找到与该CPU 有关的许多信息
Windows进程线程学习笔记(三)—— KPCR
qq_41988448的博客
11-12 1202
Windows进程线程学习笔记(三)—— KPCR前言KPCR+0x000 NtTib : _NT_TIB+0x120 PrcbData : _KPRCB 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! KPCR 描述:CPU控制区(Processor Control Region) 当线程进入...
获取操作系统的内核基地址
weixin_33724046的博客
11-05 434
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
PEB和SPEB的推导
05-25
首先,PEB和SPEB都是由KPCR(Kernel Process Control Region)指向的。KPCR是每个进程或系统进程的一个数据结构,用于存储与进程相关的系统级别信息。KPCR中的一个成员NtTib是线程信息块(Thread Information Block...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值