Misaka10046的博客

KiDeliverApc 内核APC从KiFastEntry进入内核然后进入KiDeliverApc函数分发APC.text:0043E262 loc_43E262: ; CODE XREF: _KiServiceExit+18↑j.text:0043E262 mov byte ptr [ebx+3Ah], 0.text:0043E266 cmp byte ptr

内核APC插入VOID KeInitializeApc ( __out PRKAPC Apc, //输出APC __in PRKTHREAD Thread, //要插入的线程 __in KAPC_ENVIRONMENT Environment, //APC的线程环境 __in PKKERNEL_ROUTINE KernelRoutine, //内核函数 __in_opt PKRUNDOWN_ROUTINE RundownRoutine, //特殊函数

线程资源的利用如果线程出现等待的情况，如Sleep，WaitForStingleObject的情况，为了防止等待，所以会插入APC（异步过程调用）到用户链表或者内核链表中，进行切换时会检测有无APC的存在，然后进行调用。 +0x03a Alerted : [2] UChar //0对应内核 1对应三环 +0x03c Alertable : Pos 5, 1 Bit //是否能唤醒 +0x040 ApcState : _KAPC_STA

BOOLEANKeInsertQueueApc ( __inout PRKAPC Apc, //APC的结构 __in_opt PVOID SystemArgument1, __in_opt PVOID SystemArgument2,//参数 __in KPRIORITY Increment//优先级 ) ```