2.3 常见内核数据结构 : 进程与线程数据结构

最新推荐文章于 2021-03-08 12:42:39 发布
最新推荐文章于 2021-03-08 12:42:39 发布
阅读量929 收藏
点赞数
分类专栏: NT-Kernel

进程与线程数据结构:

1. 执行体进程块(EPROCESS)

驱动程序通过PsGetCurrentProcess函数获取指向当前进程的执行体进程块指针

kd> dt nt!_EPROCESS

Pcb _KPROCESS

ProcessLock

CreateTime

ExitTime

RundownProtect

UniqueProcessId Ptr32 Void

ActiveProcessLinks

QuotaUsage

QuotaPeak

CommitCharge

PeakVirtualSize

VirutalSize

SessionProcessLinks

DebugPort

ExceptionPort

ObjectTable Ptr32 _HANDLE_TABLE

Token _EXFAST_REF

WorkingSetLock _FAST_MUTEX

WorkingSetPage

AddressCreationLock _FAST_MUTEX

HyperSpaceLock

ForkInProgress

HardwareTrigger

VadRoot

VadHint

CloneRoot

NumberOfPrivatePages

NumberOfLockedPages

Win32Process Ptr32 Void

Job Ptr32 _EJOB

SectionObject

SectionBaseAddress Ptr32 Void

QuotaBlock

WorkingSetWatch

Win32WindowStation

InheritedFromUniqueProcessId

LdtInformation

VadFreeHint

VdmObjects

DeviceMap

PhysicalVadList _LIST_ENTRY

PageDirectoryPte

Filler

Session Ptr32 Void

ImageFileName [16] UChar

JobLinks

LockedPagesList

ThreadListHead _LIST_ENTRY

SecurityPort

PaeTop

ActiveThreads

GrantedAccess

DefaultHardErrorProcessing

LastThreadExitStatus

Peb Ptr32 _PEB

PrefetchTrace

ReadOperationCount

WriteOperationCount

OtherOperationCount

ReadTransferCount

WriteTransferCount

OtherTransferCount

CommitChargeLimit

CommitChargePeak

AweInfo

SeAuditProcessCreationInfo _SE_AUDIT_PROCESS_CREATION_INFO

Vm _MMSUPPORT

LastFaultCount

ModifiedPageCount

NumberOfVads

JobStatus

Flags

CreateReported

NoDebugInherit

ProcessExiting

ProcessDelete

Wow64SplitPages

VmDeleted

OutswapEnabled

Outswapped

ForkFailed

HasPhysicalVad

AddressSpaceInitialized

SetTimerResolution

BreakOnTermination

SessionCreationUnderway

WriteWatch

ProcessInSession

OverrideAddressSpace

HasAddressSpace

LaunchPrefetched

InjectInpageErrors

VmTopDown

Unused3

Unused4

VdmAllowed

Unused

Unused1

Unused2

ExitStatus

NextPageColor

SubSystemMinorVersion

SubSystemMajorVersion

SubSystemVersion

PriorityClass

WorkingSetAcquiredUnsafe

Cookie


2. 内核进程块(KPROCESS)

kd> dt nt!_KPROCESS

Header _DISPATCHER_HEADER

ProfileListHead _LIST_ENTRY

DirectoryTableBase

LdtDescriptor _KGDTENTRY

Int21Descriptor _KIDTENTRY

IopmOffset

Iopl

Unused

ActiveProcessors

KernelTime Uint 4B

UserTime Uint 4B

ReadyListHead _LIST_ENTRY

SwapListEntry _SINGLE_LIST_ENTRY

VdmTrapcHandler

ThreadListHead _LIST_ENTRY

ProcessLock

Affinity Uint 4B

StackCount

BasePriority

ThreadQuantum

AutoAlignment

State

ThreadSeed

DisableBoost

PowerState

DisableQuantum

IdealNode

Flags _KEXECUTE_OPTIONS

ExecuteOptions


3. 执行体线程块(ETHREAD)

驱动程序通过PsGetCurrentThread函数获取一个指向当前线程的执行体线程块指针

kd> dt nt!_ethread

Tcb _KTHREAD

CreateTime _LARGE_INTEGER

NestedFaultCount

ApcNeeded

ExitTime _LARGE_INTEGER

LpcReplyChain

KeyedWaitChain

ExitStatus

OfsChain

PostBlockList

TerminationPort

ReaperLink

KeyedWaitValue

ActiveTimerListLock

ActiveTimerListHead _LIST_ENTRY

Cid _CLIEND_ID

LpcReplySemaphore

KeyedWaitSemaphore

LpcReplyMessage

LpcWaitingOnPort

ImpersonationInfo Ptr32 _PS_IMPERSONATION_INFORMATION

IrpList _LIST_ENTRY

TopLevelIrp

DeviceToVerify

ThreadsProcess

StartAddress Ptr32 Void

Win32StartAddress

LpcReceivedMessageId Uint 4B

ThreadListEntry _LIST_ENTRY

RundownProtect _EX_RUNDOWN_REF

ThreadLock _EX_PUSH_LOCK

LpcReplyMessageId

ReadClusterSize

GrantedAccess

CrossThreadFlags

Terminated

DeadThread

HideFromDebugger

ActiveImpersonationInfo

SystemThread

HardErrorsAreDisabled

BreakOnTermination

SkipCreationMsg

SkipTerminationMsg

SameThreadPassiveFlags

ActiveExWorked

ExWorkerCanWaitUser

MemoryMaker

SameThreadApcFlags

LpcReceivedMsgIdValid

LpcExitThreadCalled

AddressSpaceOwner

ForwardClusterOnly

DisablePageFaultClustering


4. 内核线程块(KTHREAD)

kd> dt nt!_KTHREAD

Header _DISPATCHER_HEADER

MutantListHead _LIST_ENTRY

InitialStack Ptr32 Void

StackLimit Ptr32 Void

Teb Ptr32 Void

TlsArray

KernelStack

DebugActive

State

Alerted

Iopl

NpxState

Saturation

Priority

ApcState

ContextSwitches

IdleSwapBlock

Spare0

WaitStatus

WaitIrql

WaitMode

WaitNext

WaitReason

WaitBlockList

WaitListEntry _LIST_ENTRY

SwapListEntry

WaitTime

BasePriority

DecrementCount

PriorityDecrement

Quantum

WaitBlock [4] _KWAIT_BLOCK

LegoData

KernelApcDisable

UserAffinity

SystemAffinityActive

PowerState

NpxIrql

InitialNode

ServiceTable

Queue Ptr32 _KQUEUE

ApcQueueLock

Timer _KTIMER

QueueListEntry _LIST_ENTRY

SoftAffinity

Affinity

Preempted

ProcessReadyQueue

KernelStackResident

NextProcessor

CallbackStack

Win32Thread

TrapFrame

ApcStatePointer

PreviosMode

KernelTime

UserTime

SavedApcState

Alertable

ApcStateIndex

ApcQueueable

Autoalignment

StackBase

SuspendApc _KAPC

SuspendSemaphore _KSEMAPHORE

ThreadListEntry _LIST_ENTRY

FreezeConut

SuspendCount

IdealProcessor

DisableBoost

zhou191954
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程线程数据结构
kanghe
05-18 1877
1、程序的运行时 数据结构 2、进程相关的数据结构 (linux进程) 3、Windows进程数据结构及创建流程
操作系统知识点
ThetaQing的博客
05-13 206
文章目录一、导论1.1 什么是操作系统1.2 多道程序设计和分时1.3 操作系统操作和功能二、操作系统结构2.1 操作系统服务和接口2.2 操作系统结构2.3 虚拟机三、进程3.1 进程概念3.2 进程操作3.3 进程通信 一、导论 1.1 什么是操作系统 操作系统管理计算机硬件的程序,并充当用户和计算机硬件间的介,主要目标有: (1)核心目标:运行用户程序 (2)面向用户:更方便使用计算机 (3)面向系统:更高效使用计算机 CPU和设备控制器可以并行工作,并竞争内存。 CPU在内存和本地缓冲之
内核层的进程线程对象
maomao171314的专栏
11-26 435
Windows进程线程数据结构 1 内核层的进程线程对象 进程数据结构: typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; LIST_ENTRY ProfileListHead; // // T...
详解内核list_head结构
happy_6678的专栏
11-01 1092
struct list_head { struct list_head *prev; struct list_head *next; }; 链表的定义与初始化,宏的参数用小括号括起来防止出现扩展异常 #define LIST_HEAD_INIT(name) { &(name), &(name) } #define LIST_HEAD(name) / struct list_head name = LIST_HEAD_INIT(name) #define
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2173
简介 线程所属的父进程 _EPROCESS 结构的 ThreadListHead 成员是当前进程所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构的 ThreadListEntry 成员实现遍历进程的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
UNIX网络编程 卷2:进程间通信
06-16
 1.2 进程线程与信息共享 3  1.3 IPC对象的持续性 4  1.4 名字空间 5  1.5 fork、exec和exit对IPC对象的影响 7  1.6 出错处理:包裹函数 8  1.7 Unix标准 9  1.8 书IPC例子索引表 11  1.9 小结 13  ...
疯狂内核之——进程管理子系统
05-30
1.1 进程相关数据结构 5 1.1.1 进程的基本信息 6 1.1.2 进程状态 10 1.1.3 TASK_RUNNING状态的进程链表 11 1.1.4 进程间关系 12 1.2 Linux的线程——轻量级进程 15 1.3 进程的创建——do_fork()函数详解 19 1.4 执行...
Windows内核安全与驱动开发光盘源码
07-11
2.3 重要的数据结构 21 2.3.1 驱动对象 21 2.3.2 设备对象 22 2.3.3 请求 24 2.4 函数调用 25 2.4.1 查阅帮助 25 2.4.2 帮助有的几类函数 26 2.4.3 帮助没有的函数 28 2.5 Windows的驱动开发模型 29 ...
Windows x64内核修改进程入口点
muy的专栏
07-05 2680
现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。
Windows进程线程数据结构(下)
maomao171314的专栏
11-26 759
2 执行层的进程线程对象 执行进程对象的数据结构EPROCESS,第一部分 Pcb : KPROCESS 内嵌结构 ProcessLock : 一个推锁(push lock)对象,用于保护EPROCESS的数据成员 CreateTime : 进程的创建时间 ExitTime : 进程的退出时间 RundownProtect : 进程的停止保护锁。当一个进程到最后被销毁时,它要等到所有其他进程线程以及释放了此锁,才可继续进行 UniqueProcessId : 进程的唯一编号.
观察进程线程数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程线程结构和其他跟进程线程相关的东西。
漏洞利用原理(高级)
wk19951125的博客
08-27 593
数据与程序的分水岭:DEPDEP机制的保护原理利用Ret2Libc挑战DEPRet2Libc实战之利用ZwSetInformationProcessRet2Libc实战之利用VirtualProtect DEP机制的保护原理 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU会抛出异常。 DEP按实现机制的不同,分为...
Windows内核里面KTHREAD和KPROCESS的头文件
weixin_30617695的博客
04-14 340
内核编程的时候用到了KTHREAD KPROCESS这两个数据结构,在DDK2003和WDM里面都找不到对它们的明确定义,仅仅只有 typedef struct _KPROCESS *PKPROCESS 和typedef struct _KTHREAD *PKTHREAD 后来才知道原来这两个是Windows未公开的内核数据结构,特找到其头文件如下,保存为.H后直接include即可,希望能方...
进程相关的数据结构
云(存储),松(耦合)
04-18 6340
为了管理进程内核必须对每个进程所做的事情进行清楚的描述。例如,内核必须知道进程的优先级,它是正在CPU上运行还是因某些事件而被阻塞,给它分配了什么样的地址空间,允许它访问哪个文件等等。这些正是进程描述符的作用——进程描述符都是task_struct数据结构,它的字段包含了与一个进程相关的所有信息。因为进程描述符存放了那么多的信息,所以它是相当复杂滴。。。。不过别怕,我们解决主要矛盾,其他
内核驱动程序获取当前用户进程进程名的一种方法
A00553344的专栏
01-29 7411
内核驱动程序获取当前用户进程进程名的一种方法在内核驱动程序,可以通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.很多文章都说在EPROCESS结构的0x174偏移处存放着进程名.这里提供另外一种方法来获取这个进程名.思路如下:驱动程序的加载函数DriverEntry是运行在System进程的.通过PsGetCurrentProce
linux内核内核进程有关的数据结构
darmao的博客
12-18 708
进程ID类型PID:这是 Linux 在其命名空间唯一标识进程而分配给它的一个号码,称做进程ID号,简称PID。在使用 fork 或 clone 系统调用时产生的进程均会由内核分配一个新的唯一的PID值。 TGID:在一个进程,如果以CLONE_THREAD标志来调用clone建立的进程就是该进程的一个线程,它们处于一个线程组,该线程组的ID叫做TGID。处于相同的线程的所有进程都有相同
Threads(线程)(二)
weixin_30682415的博客
07-20 346
前一章我们提到了同步异步,多线程;在开始今天的文章之前,先来总结一下上一篇文章的内容,多线程的优点。 多线程有哪些优点呢,在这里通过代码依次来总结。 异步多线程的三大特点 1)同步方法卡界面,原因是主线程被占用;异步方法不卡界面,原因是计算交给了别的线程,主线程空闲 首先创建winfrom程序,建一个普通方法,然后异步、同步调用 /// <summary>...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3275
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
Linux 内核数据结构内核数据结构:Radix 树树
最新发布
01-20
Radix树是Linux内核的一种数据结构,用于将值映射为整型关键字。它在内核被广泛使用,用于高效地存储和检索大量的键值对。Radix树的定义和实现可以在Linux内核的include/linux/radix-tree.h文件找到。 Radix...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值