5.用户APC执行过程

最新推荐文章于 2024-09-22 14:56:36 发布
原创 最新推荐文章于 2024-09-22 14:56:36 发布 · 1.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了用户APC(异步过程调用)在系统调用、中断或异常返回用户空间前的执行过程,涉及线程堆栈操作、KiServiceExit和KiDeliverApc函数的作用,以及KinitializeUserApc和KiUserApcDispatcher的功能。用户APC执行需要经过内核到用户空间的切换,包括寄存器、栈顶等运行环境的保存与恢复,涉及复杂堆栈操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当产生系统调用、中断或者异常,线程在返回用户空间前都会调用, _KiServiceExit函数,在_KiServiceExit会判断是否有要执行的用户APC,如果有则调用KiDeliverApc函数(第一个参数为1)进行处理。

执行用户APC时的堆栈操作

处理用户APC要比内核APC复杂的多,因为,用户APC函数要在用户空间执行的,这里涉及到大量换栈的操作:

当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存 囚器,栈的位置等等(_Trap_Frame),然后切换成内核的堆栈,如果正常返回, 您恢复堆栈环境即可。

但如果有用户APC要执行的话,就意味着线程要提前返回到用户空间去,执行,而且返回的位置不是线程进入内核时的位置,而是返回到其他的位置,每处理一个用户APC都会涉及到:
内核->用户空间->再回到内核空间

堆栈的操作比较复杂,如果不了解堆栈的操作细节不可能理解用户APC是如何执行!

KiDeliverApc函数分析
无论是内核APC还是用户APC首先执行的都是这个函数

  1. 判断用户APC链表是否为空
  2. 判断第一个参数是为1
  3. 判断ApcState.UserApcPending是否为1
  4. 将ApcState.UserApcPending设置为0
  5. 链表操作将当前APC从用户队列中拆除
  6. 调用函数(KAPC.KernelRoutine)释放KAPC结构体内存空间
  7. 调用KilnitializeUserApc函数

在这里插入图片描述
取完内核APC后取用户APC,然后判断你用户APC是不是空的,不为空就跳转。

在这里插入图片描述

KilnitializeUserApc函数分析:备份CONTEXT

线程进0环时,原来的运行环境(寄存器栈顶等)保存到Trap_Frame结构体中,如果要提前返回3环去处理用户APC,就必须要修改Trap _Frame结构体:

比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不,是原来的位置,那就意味着必须要修改EIP为新的返回位置。还有堆栈ESP也要修改为处理APC需要的堆栈。那原来的值怎么办呢?处理完APC后该如何返

最低0.47元/天 解锁文章

200万优质内容无限畅学
4.内核APC执行过程
My classmates
10-24 1858
APC函数的执行与插入并不是同一个线程: 在A线程中向B线程插入一个APC,插入的动作是在A线程中完成的,但什么时候执行则由B线程决定!,所以叫“异步过程调用" 内核APC函数与用户APC函数的执行时间和执行方式也有区别,我们本节课主要学习内核APC执行过程执行点1:线程切换 SwapContext //判断是否有内核APC KiSwapThread KiDelicerApc /...
Windows APC机制(二)
井底之蛙
06-29 6189
上文中讲到投递User Mode APCs是很特殊的,道理很简单,因为User Mode APC是ring3下的回调函数,显然ring0中的KiDeliverAPC()不能像Kernel Mode APC那样直接call,必须要先回到ring3环境下。当然不能像普通情况那样返回(否则就回到ring3系统调用的地方了),只有一个办法,那就是修改TrapFrame ,欺骗系统返回“APC回调函数”!K
windows内核之用户APC执行流程图(KiInitializeUserApc
windows小菜鸡的博客
12-02 520
内核篇-----用户APC
qq_45806710的博客
02-08 1299
用户APC执行过程 1.执行用户APC的堆栈操作 线程从用户层到内核层时,要保留原来的运行环境; 寄存器,栈的位置要切换回内核的堆栈,如果正常返回,恢复堆栈环境即可;但是要是有用户APC执行的话,线程要提前返回到用户空间执行,而且返回的位置不是线程进入内核时的位置,而是返回到其他位置,每处理一个用户APC都会涉及到内核用户空间再回到内核空间(ZwContinue); KiIntializeUesrApc函数分析:备份CONTEXT 线程进0环时,原来的运行环境要保存到_Trap_Frame结构体中,如果
windows内核之内核APC执行过程(KiDeliverApc
windows小菜鸡的博客
12-01 472
Windows APC学习笔记(二)—— 挂入过程&执行过程
lzyddf的博客
02-29 1557
Windows APC学习笔记(二)—— 挂入过程&执行过程前言基础知识挂入过程KeInitializeApcApcStateIndex 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列 每当要挂入一个APC函数时,不管是内核APC还是用户AP...
Apc.rar_APC_windows APC
09-23
- **调度APC**: 当线程从可调度状态变为可运行状态时,系统会检查其APC队列并安排APC执行。 - **执行APC**: 线程在适当的时间执行APC函数,这通常发生在线程的上下文切换时。 4. **线程的APC状态** 线程有三种与...
apc_inject.rar_APC_APC inject_inject
09-23
APC注入通常指的是在用户模式进程中注入shellcode,通过Ring 0级别的权限执行,这涉及到操作系统内核层面的安全与编程。 在Windows操作系统中,APC是一种机制,允许在不同线程上下文中执行代码,通常用于异步I/O...
APC_inject.zip_APC_APC_inject_driver user apc_inject driver_inje
09-14
APC是Windows操作系统内核中的一个重要机制,它允许内核模式的组件(如驱动程序)安排在用户模式线程上下文中执行的函数调用。这种技术可以被用来跨模式通信,但如果不正确或恶意使用,可能会对系统安全构成威胁。 ...
用户模式下apc的几个错误用法
bsnry的专栏
08-29 1588
http://bbs.csdn.net/topics/330091476 1.  apc调用在线程开始, 解决发自: queueuserapc之前
初识APC机制&实现APC注入
最新发布
dreamer292的博客
09-22 1911
其实就是一种骚姿势进行的DLL注入,而且动静比之前的小,又已经在运行的线程来回调插入到APC队列中的恶意DLL。
【转】逆向工程之内核下创建用户进程(插APC
okmnji79513的专栏
08-27 1023
https://forum.eviloctal.com/thread-32192-1-1.html  //By:Eros412#include #include PKAPC_STATE ApcState;ULONG peprocess;ULONG explorer;PMDL mdl;typedef enum _KAPC_ENVIRONMENT { O
通过异步程序调用(APC)实现的定时功能
crkres9527
05-31 1185
定时器是一个在特定时间或者规则间隔被激发的内核对象。结合定时器的异步程序调用可以允许回调函数在任何定时器被激发的时候执行。本文的例子代码显示了如何实现。   使用本定时器时,你需要把常量_WIN32_WINNT定义为0x0400,并且此常量应该在包之前定义,以确保声明合适的定时器原型函数。    通过调用CreateWaitableTimer()可以创建一个定时器,此函数返回一个指向内核对象的
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4500
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行
插入用户APC
u012129783的博客
08-24 770
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使插入了APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在插入APC时,APC函数就会执行。 #include "stdafx.h" #inc...
漫谈兼容内核之十二: Windows的APC机制(毛德操)
vbsourcecode的专栏
02-07 2514
前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机制,
APC机制详解
鬼手的博客
02-15 7724
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
漫谈兼容内核之十二:Windows的APC机制
周寅的专栏
03-13 3287
  前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机
APC异步过程调用
kernweak的博客
09-03 2636
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
PHP 5.4使用php_apc.dll的安装与配置指南
用户在安装过程中可以参考INSTALL文件以确保正确的安装步骤。 ### 知识点五:文件名称列表说明 在给定的文件名称列表中,我们可以看到以下几个文件及其用途: - **LICENSE.PHP.APC**:可能包含了php_apc.dll扩展...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值