《Windows内核原理与实现》第三章学习笔记---KPROCESS学习

最新推荐文章于 2022-03-02 12:11:13 发布
最新推荐文章于 2022-03-02 12:11:13 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 内核学习笔记 文章标签: 内核 线程 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/40130971
版权 
typedef struct _KPROCESS {

    //
    // The dispatch header and profile listhead are fairly infrequently
    // referenced.
    //

    DISPATCHER_HEADER Header;			//表明KPROCESS也是一个分发器对象(dispatcher object)
    LIST_ENTRY ProfileListHead;			//用于当该进程参与性能分析时,作为一个节点加入到全局的性能分析进程列表(内核全局变量KiProfileListHead)

    //
    // The following fields are referenced during context switches.
    //

    ULONG_PTR DirectoryTableBase[2];	//DirectoryTableBase[0]:指向该进程的页目录表地址;DirectoryTableBase[1]:指向该进程的超空间的页目录表地址

#if defined(_X86_)

    KGDTENTRY LdtDescriptor;			//LDT(局部描述符表)
    KIDTENTRY Int21Descriptor;			//为了兼容dos,允许他们通过int 21h指令来调用DOS系统功能
    USHORT IopmOffset;					//IOPM位置:内核通过IOPM可控制进程的用模式I/O访问权限
    UCHAR Iopl;							//I/O优先级
    BOOLEAN Unused;						

#endif

#if defined(_AMD64_)

    USHORT IopmOffset;

#endif

    volatile KAFFINITY ActiveProcessors;		//记录了当前进程正在哪个处理器上运行,与下面KernelTime,UserTime有关

    //
    // The following fields are referenced during clock interrupts.
    //

    ULONG KernelTime;							//记录了进程对象在内核模式下所花的时间
    ULONG UserTime;								//记录了进程对象在用户模式下所花的时间

    //
    // The following fields are referenced infrequently.
    //
	
    LIST_ENTRY ReadyListHead;					//双向链表的表头,该链表记录了这个进程中处于就绪状态但尚未假如全局就绪链表的线程,请看 注1
    SINGLE_LIST_ENTRY SwapListEntry;			//单链表,当一个进程被换出(入)内存时,它通过此域加入到全局
												//变量KiProcessOutSwapListHead(KiProcessInSwapListHead)链表中
#if defined(_X86_)

    PVOID VdmTrapcHandler;						//指向处理Ctrl+C中断的函数(VDM 虚拟DOS机)

#else

    PVOID Reserved1;

#endif

    LIST_ENTRY ThreadListHead;					//此链表包含了该进程的所有当前线程。线程初始化的时候加入到该链表,线程终止的时候从该链表中移出
    KSPIN_LOCK ProcessLock;						//自旋锁对象(保护此进程中的数据成员)
    KAFFINITY Affinity;							//指定了该进程的线程可以在哪些处理器上运行

    //
    // N.B. The following bit number definitions must match the following
    //      bit field.
    //
    // N.B. These bits can only be written with interlocked operations.
    //

#define KPROCESS_AUTO_ALIGNMENT_BIT 0
#define KPROCESS_DISABLE_BOOST_BIT 1
#define KPROCESS_DISABLE_QUANTUM_BIT 2

    union {
        struct {
            LONG AutoAlignment : 1;				//
            LONG DisableBoost : 1;				//
            LONG DisableQuantum : 1;			//
            LONG ReservedFlags : 29;			//
        };
   ↑
        LONG ProcessFlags;						//进程中的标志,如上↑↑↑↑
    };

    SCHAR BasePriority;							//用于指定一个进程的线程的优先级,所有线程在启动的时候都会继承这个值
    SCHAR QuantumReset;							//指定一个进程中线程的基本时限重置值
    UCHAR State;								//说明了一个进程是否在内存中,共有六种状态,见注2
    UCHAR ThreadSeed;							//用于该进程选择适当的理想处理器
    UCHAR PowerState;							//用于记录电源状态
    UCHAR IdealNode;							//用于为一个进程选择优先的处理器节点
    BOOLEAN Visited;							//WRK中未使用
    union {
        KEXECUTE_OPTIONS Flags;
        UCHAR ExecuteOptions;					//设置进程内存执行选项
    };

#if !defined(_X86_) && !defined(_AMD64_)

    PALIGNMENT_EXCEPTION_TABLE AlignmentExceptionTable;	

#endif

    ULONG_PTR StackCount;						//记录了当前进程中有多少个线程的栈位于内存中
    LIST_ENTRY ProcessListEntry;				//将当前系统中所有具有活动线程的进程串成一个链,表头为KiProcessListHead(仅用在AMD64下)
} KPROCESS, *PKPROCESS, *PRKPROCESS;



注1:LIST_ENTRY ReadyListHead 该链表的意义在于,当一个进程被换出内存以后,它所属的线程一旦就绪,就会挂入这个表中,并要求换入进程;之后
当该进程再次换入内存时,ReadyListHead中的所有线程被加入到系统全局就绪线程链表中。ReadyListHead的每一项都指向一个KTHREAD对象的WaitList域
的地址,所以从链表中的每一项都能定位到一个线程对象。

注2:ProcessInMemory、ProcessOutOfMemory、ProcessInTransition、ProcessOutTransition、ProcessInSwap、ProcessOutSwap


总结:KPROCESS对象中记录的信息主要包括两类:一类跟进程内存环境相关,比如与目录表,交换状态等;
另一类是与其线程相关的一些属性,比如线程列表以及线程所需要的优先级、时限设置等、
系统的总进程列表是在执行体层管理的(EPROCESS结构)

zfdyq0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核层的进程机构--KPROCESS
BpLife
12-08 2306
1.WRK中的KPROCESS typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header;//此域表明KPROCESS对象也是一个分
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1376
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
Windows内核原理实现笔记》(五)Windows内核中进程和线程的数据结构KTHREAD,KPROCESS
kernweak的博客
01-09 1382
Windows中进程和线程的数据结构 Windows内核中的执行体层负责各种与管理和策略相关的功能,而内核层(或微内核实现了操作系统的核心机制。进程和线程在这两层上都有对应的数据结构。 内核层的进程和线程对象 首先看(微)内核层的数据结构,这是进程和线程最为基本的数据结构,分别名为KPROCESS和KTHREAD。 KPROCESS的定义(见base\ntos\inc\ke.h) t...
[Windows 驱动开发] 驱动中获取函数地址
LYSM
04-15 802
跟ring3 GetProcAddress相似. PVOID MmGetSystemRoutineAddress( PUNICODE_STRING SystemRoutineName ); 驱动程序可以使用这个例程来确定一个例程在特定版本的Windows上是否可用。它只能用于内核或HAL导出的例程,不能用于任何驱动程序定义的例程。 ...
linux命令记录
有间客栈
08-29 294
1. 多文件内容的查找替换 sed -i "s/oldstring/newstring/g" `grep oldstring -rl dir` 2.tcpdump 网络抓包 tcpdump -Xns0 -i any udp/tcp port -i 指定网卡 upd/tcp 协议 port 指定端口 其他具体选型参考:man tcpdump 3. 网络包接受情况(
操作系统-实验二-windows内存管理实验.doc
最新发布
12-22
页目录是每个进程都有的一个数据结构,进程页目录的地址被保存在内核地址块(KPROCESS)中。在 Windows 中,它被映射到虚拟地址 0xC0300000。页目录由页表项构成,每个页表只占一个页面,含有 1024 个 PTE,一个 PTE...
Windows进程与线程实验PPT学习教案.pptx
10-02
Windows操作系统中,进程和线程是执行程序的基本单元,它们是...通过这些实验,学习者将能够深入理解Windows操作系统下进程与线程的工作原理,这对于系统级编程、性能优化、故障排查等方面有着极其重要的实践意义。
操作系统原理:第3章 进程.ppt
09-17
操作系统原理的第三章主要探讨了进程这一核心概念。进程是操作系统中执行的程序实例,它包含程序的代码、当前活动状态以及与之相关的各种数据结构。在批处理系统中,进程对应于作业,而在分时系统中,它代表用户程序...
罗登-进程线程1
08-03
在XV6中,进程的创建、切换和销毁等操作通过内核函数实现,如`allocproc()`用于创建新进程,`switchcontext()`用于进行上下文切换。这些操作涉及到对`proc`结构体的修改,如改变进程状态、分配或回收资源。进程的...
KProcessMon_KProcess_进程监视工具_监视内存_ProcessMonitor_
09-29
"KProcessMon",全称"KProcess Monitor",是一个内核级的进程监视工具,它为系统监控提供了一个强大的解决方案。此工具与知名的"ProcessMonitor"类似,但具有更多增强功能,特别是在进程内存操作、模块加载和敏感...
Windows操作系统----进程与线程----内核层对象----KPROCESS
一个热爱逆向,喜爱学习、分享的猿。
12-09 421
typedef struct _KPROCESS { DISPATCHER_HEADER Header; LIST_ENTRY ProfileListHead; ULONG DirectoryTableBase; ULONG Unused0; KGDTENTRY LdtDescriptor; KIDTENTRY Int21Descriptor; WORD IopmOffset; UCHAR Iopl; UCHAR...
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1114
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
通过读取KiWaitInListHead列出隐藏的进程
eaglenet的专栏
02-19 889
[转载]通过读取KiWaitInListHead列出隐藏的进程来源:http://blog.csdn.net/sunwear//*有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.技术
KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)
weixin_34116110的博客
12-02 237
继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构。   1. 相关阅读材料 《深入理解计算机系统(原书第2版)》     二. KPROCESS KPROCESS,也叫内核进程块。我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS名字感觉差不多,那它们之间是什么关系呢?它们在内核区域中都位于那一层呢? 我们先来看一张图: w...
EPROCESS+KPCR+ETHREAD部分介绍-学习记录
qq_36918532的博客
03-02 1040
**目前32位上结构体已经延展到了0x2bc ** _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS 详细见下面 +0x098 ProcessLock : _EX_PUSH_LOCK 进程锁,和KPEOCESS不一样,只锁自己的结构 +0x0a0 CreateTime : _LARGE_INTEGER 进程创建时间 +0x0a8 ExitTime : _LARGE_INTEGER 进程退出时间 +0
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9728
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
进程线程004 Windows线程切换的三种方式
鬼手的博客
02-12 2543
文章目录主动切换(调用API)KiSwapContext函数分析哪些API调用了SwapContext函数总结时钟中断切换如何中断一个正在执行的程序系统时钟时钟中断的执行流程总结时间片管理1.时间片到期什么是时间片?时间片什么时候发生改变?CPU时间片到期了如何处理?CPU时间片总结2.存在备用线程总结 主动切换(调用API) 之前我们已经学习了模拟Windows线程切换的代码,里面用于线程切换的...
windows内核之进程/线程结构体
挖树
03-12 1307
进程与线程 目录 文章目录目录进程结构体EPROCESS_EPROCESS_KPROCESS其他重要结构体线程结构体ETHREADETHREAD_KTHREAD其他重要结构体CPU控制区结构体KPCRNT_TIB其他重要成员KPRCB等待链表和调度链表等待链表33个链表版本差异总结 进程结构体EPROCESS 注意分清楚peb(ring 3)与EPROCESS(ring 0) 结构体很多,往往我...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值