2.3 常见内核数据结构 : 其他一些常见的数据结构

最新推荐文章于 2025-02-24 02:46:36 发布
转载 最新推荐文章于 2025-02-24 02:46:36 发布 · 712 阅读 · 0

本文详细解析了Windows内核中常见的数据结构,包括对象结构、链表结构、APC/DPC和PE文件相关结构,以及基于分发器对象的同步对象结构。同时,介绍了内存区对象(SECTION_OBJECT)及其相关组件,如CONTROL_AREA和SEGMENT_OBJECT。通过理解这些底层结构,开发者能够更好地掌握Windows内核的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

其他一些常见的数据结构:

1. 对象结构

xp sp3下的对象结构

kd> dt ntkrpamp !_OBJECT_HEADER

PointerCount

HandleCount

NextToFree

Type Ptr32 _OBJECT_TYPE

NameInfoOffset

HandleInfoOffset

QuotaInfoOffset

Flags

ObjectCreateInfo Ptr32 _OBJECT_CREATE_INFORMATION

QuotaBlockCharged

SecurityDescriptor

Body _QUAD

win7下的对象结构

kd> dt nt!_object_header

PointerCount

HandleCount

NextToFree

Lock _EX_PUSH_LOCK

TypeIndex

TraceFlags

InfoMask

Flags

ObjectCreateInfo Ptr32 _OBJECT_CREATE_INFORMATION

QuotaBlockCharged

SecurityDescriptor

Body _QUAD


2. 链表结构

kd> dt nt!_LIST_ENTRY

Flink Ptr32 _LIST_ENTRY

Blink Ptr32 _LIST_ENTRY

typedef struct {

// driver-defined members

.

.

.

LIST_ENTRY ListEntry;

// other driver-defined members

.

.

.

} XXX_ENTRY;


3. APC和DPC

APC的数据结构

kd> dt nt!_KAPC

Type

Size

Spare0

Thread Ptr32 _KTHREAD

ApcListEntry _LIST_ENTRY

KernelRoutine

RundownRoutine

NormalRoutine

NormalContext

SystemArgument1

SystemArgument2

ApcStateIndex

ApcMode

Inserted

DPC的数据结构

kd> dt nt!_KDPC

Type

Number

Importance

DpcListEntry _LIST_ENTRY

DeferredRoutine

DeferredContext

SystemArgument1

SystemArgument2

Lock


4. PE文件相关结构

DOS头、PE文件头、块表及块

(1) DOS头

kd> dt nt!_IMAGE_DOS_HEADER

e_magic

e_cblp

e_cp

e_cparhdr

e_minalloc

e_maxalloc

e_ss

e_sp

e_csum

e_ip

e_cs

e_lfarlc

e_ovno

e_res

e_oemid

e_oeminfo

e_res2

e_lfanew

(2) PE文件头

kd> dt nt!_IMAGE_NT_HEADERS

Signature

FileHeader _IMAGE_FILE_HEADER

OptionalHeader _IMAGE_OPTIONAL_HEADER

Signature即"PE"

kd> dt nt!_IMAGE_FILE_HEADER

Machine

NumberOfSections

TimeDateStamp

PointerToSysbolTable

NumberOfSymbols

SizeOfOptionalHeader

Characteristics

kd> dt nt!_IMAGE_OPTIONAL_HEADER

Magic

MajorLinkerVersion

MinorLinkerVersion

SizeOfCode

SizeOfInitializedData

SizeOfUninitializedData

AddressOfEntryPoint

BaseOfCode

BaseOfData

ImageBase

SectionAlignment

FileAlignment

MajorOperatingSystemVersion

MinorOperationSystemVersion

MajorImageVersion

MinorImageVersion

MajorSubsystemVersion

MinorSubsystemVersion

Win32VersionValue

SizeOfImage

SizeOfHeaders

CheckSum

Subsystem

DllCharacteristics

SizeOfStackReserve

SizeOfStackCommit

SizeOfHeapReserve

SizeOfHeapCommit

LoaderFlags

NumberOfRvaAndSizes

DataDirectory [16] _IMAGE_DATA_DIRECTORY

kd> dt nt!_IMAGE_DATA_DIRECTORY

VirtualAddress

Size

(3) 块表

kd> dt nt!_IMAGE_SECTION_HEADER

Name

Misc

PhysicalAddress

VirtualSize

VirtualAddress

SizeOfRawData

PointerToRawData

PointerToRelocations

PointerToLinenumbers

NumberOfRelocations

NumberOfLinenumbers

Characteristics


5. 基于分发器对象的同步对象结构

常见的同步对象如事件、信号灯、定时器,还有线程、进程等,都是基于分发器对象的同步对象,这些同步对象的第一个成员都是分发器头

kd> dt nt!_DISPATCHER_HEADER

Type

Absolute

Size

Inserted

SignalState

WaitListHeader _LIST_ENTRY

WaitListHeader域记录等待该对象的线程链表,可以枚举出等待该对象的所有线程,连接的节点数据结构为KWAIT_BLOCK

kd> dt nt!_KWAIT_BLOCK

WaitListEntry _LIST_ENTRY

Thread

Object

NextWaitBlock Ptr32 _KWAIT_BLOCK

WaitKey

WaitType


6. 内存区对象(SECTION_OBJECT)

kd> dt nt!_SECTION_OBJECT

StartingVa

EndingVa

Parent

LeftChild

RightChild

Segment Ptr32 _SEGMENT_OBJECT

kd> dt nt!_CONTROL_AREA

Segment Ptr32 _SEGMENT

DereferenceList _LIST_ENTRY

NumberOfSectionReferences

NumberOfPfnReferences

NumberOfMaooedViews

NumberOfSubsections

FlushInProgressCount

NumberOfUserReferences

u __unnamed

FilePointer Ptr32 _FILE_OBJECT

WaitingForDeletion Ptr32 _EVENT_COUNTER

ModifiedWriteCount

NumberOfSystemCacheViews

kd> dt nt!_SEGMENT_OBJECT

BaseAddress

TotalNumberOfPtes

SizeOfSegment

NonExtendedPtes

ImageCommitment

ControlArea

Subsection

LargeControlArea

MmSectionFlags

MmSubSectionFlags

kd> dt nt!_SEGMET

ControlArea Ptr32 _CONTROL_AREA

TotalNumberOfPtes

NonExtendedPtes

WritableUserReferences

SizeOfSegment

SegmentPteTemplate _MMPTE

NumberOfCommittedPages

ExtendInfo Ptr32 _MMEXTEND_INFO

SystemImageBase

BasedAddress

u1 __unnamed

u2 __unnamed

PrototypePte Ptr32 _MMPTE

ThePtes [1] _MMPTE

数据结构与算法:数据结构助力算法升级
AI 算法实战派
05-22 709
本文旨在系统性地阐述数据结构与算法之间的内在联系,帮助读者理解如何通过选择合适的数据结构来优化算法性能。范围涵盖基础数据结构、高级数据结构及其在算法设计中的应用。文章首先介绍基本概念,然后深入分析数据结构与算法的关系,接着通过实际案例展示应用,最后探讨未来发展趋势。数据结构:组织和存储数据的方式,以便有效地访问和修改算法:解决特定问题的一系列明确的计算步骤时间复杂度:算法执行时间随输入规模增长的变化趋势空间复杂度:算法执行过程中所需存储空间随输入规模增长的变化趋势分布式数据结构设计外存算法优化。
数据结构与算法之链表的基础入门
最新发布
AI 算法实战派
05-17 787
本文旨在为初学者提供链表数据结构的全面入门指南。理解链表的基本概念和工作原理掌握链表的各种操作(插入、删除、查找等)能够用代码实现不同类型的链表分析链表操作的时间复杂度和空间复杂度了解链表的实际应用场景背景介绍:介绍链表的基本概念和本文结构核心概念与联系:讲解链表的原理和类型核心算法原理与操作步骤:详细分析链表的各种操作数学模型和公式:分析链表的时间空间复杂度项目实战:通过Python代码实现链表实际应用场景:探讨链表的典型应用工具和资源推荐:提供学习资源。
深入讲解Linux内核中常用的数据结构和算法
youzhangjing_的博客
04-12 1486
链表通常由若干节点组成,每个节点的结构都是一样的,由有效数据区和指针区两部分组成。struct list_head数据结构不包含链表节点的数据区,通常是嵌入其他数据结构,如struct page数据结构中嵌入了一个lru链表节点,通常是把page数据结构挂入LRU链表。如图所示,单向链表具有单向移动性,也就是只能访问当前的节点的后继节点,而无法访问当前节点的前继节点,因此在实际项目中运用得比较少。如图所示,双向链表和单向链表的区别是指针区包含了两个指针,一个指向前继节点,另一个指向后继节点,如下代码所示。
内核中常用的几种数据结构记录。
追逐梦想的脚步
02-29 852
linux 内核中大量使用的数据结构主要包含以下四种: 1链表 在 linux/list.h中定义原型 2队列 在linux/kfifo.h中定义原型 · 3映射 4二叉树 每种结构常用的一些处理操作函数也都有定义。
node sqlite 插入数据_Linux 内核 常用数据结构
weixin_39520013的博客
11-10 135
相关教程Linux内核,让你不知如何下手的地方Linux内核网卡技术分享工程师的圣地—Linux内核, 谈谈内核的架构Linux内核,进程间通信组件的实现Linux 内核 常用数据结构Linux 内核代码中广泛使用了数据结构和算法,其中最常用的两个是链表和红黑树。链表Linux 内核代码大量使用了链表这种数据结构。链表是在解决数组不能动态扩展这个缺陷而产生的一种数据结构。链表所包含的元素可以动态创...
内核数据结构
virgilshi的博客
05-25 1007
更新时间:2019年5月25日17:40:39 内核数据结构 内核数据结构主要有:链表、队列、映射和红黑树。 参考文献: https://www.cnblogs.com/wang_yb/archive/2013/04/16/3023892.html 《内核设计与实现》 实验环境 Linux 4.14.120 链表 链表的结构体: struct list_head{ struct list...
Windbg_16-内核常见的结构
qq_33168924的博客
11-25 388
内核常见结构: SSDT EPROCESS ETHREAD 1.1:SSDT 在Windows内核层有一个SSDT(系统服务描述表)。SSDT表中存储的是很多函数的地址。 应用层调用的API函数实际大部分都是一个空壳,具体的功能基本都是由内核层实现的。 用户层的API函数最终都会通过一条汇编指令进入内核层,进入内核层首先要做的就是在SSDT 表中找到相应的函数并...
CoDeSys+2.3实时系统开发指南:掌握实时编程的关键技巧
![CoDeSys+2.3实时系统开发指南:掌握实时编程的关键技巧]...文章进一步探讨了实时编程实践技巧,特别是在任务调度、中断处理、数据通讯和同步机制方面的技巧。通过介绍自动化控制系统开
链表数据结构:从零开始的C++实现完全指南(教学版)
weixin_69882801的博客
02-24 573
【代码】链表数据结构:从零开始的C++实现完全指南(教学版)
Linux内核同步机制:解决面试中的10大常见问题
![Linux内核同步机制:解决面试中的10大常见问题]...为了保证数据的一致性和防止竞争条件,内核开发者们设计了一系列同步技术。 本章将为读者提供Linux内核同步机制的总体概述,介
地址转译的相关问题(三)
商少
03-24 956
内存区对象 结构体定义 typedef struct_SECTION { MMADDRESS_NODE Address;   //内存区的VAD节点,用于把所有特定类型的内存区对象组织成一颗平衡树(SEC_BASED)类型 PSEGMENT Segment;            // 段对象 LARGE_INTEGER SizeOfSection; union { ULONG Lo
驱动开发:内核遍历进程VAD结构体
热门推荐
优快云
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
MmCreateSection/MmMapViewOfSection个人注释及理解(一)
lixiangminghate的专栏
04-03 2892
建立内存映射,就是把文件内容映射到进程虚拟空间,这个可以通过MSDN达成共识。NtCreateSection是建立内存映射的第一步,而MmCreateSection是建立内存映射NtCreateSection的具体实现。前面 一文提到了Section/Segment等对象之间的关系,而 MmCreateSection就是用来建立这些对象的关系。     MmCreateSection代码过于繁
《深入理解Windows操作系统》笔记1
夜澜偶作庄周梦 酒后聊为楚客狂
02-02 5165
C:\Program Files>cd "Debugging Tools for Windows (x86)"C:\Program Files\Debugging Tools for Windows (x86)>dir 驱动器 C 中的卷没有标签。 卷的序列号是 18F6-A188 C:\Program Files\Debugging Tools for Windows (x86) 的目录2012
内存管理(3)用户空间内存管理&内存区对象
Returns' Station
05-13 4038
进程内存管理 MmCreateProcessAddressSpace 初始化进程的系统空间部分 1.先做一些检查,检查系统是否有足够的页面 2.申请四个物理页面分别用于:页目录,超空间页表,VAD位图,工作集链表 3.初始化EPROCESS中的一些结构_MMSUPPORT Vm.MinimumWorkingSetSize; DirectoryTableBase WorkingSet
内核链接脚本分析
viewsky11的专栏
12-28 909
vmlinux_32.lds.S文件分析Overview 上图中显示了内核image的布局,其中深色部分位于内核的虚拟地址空间3G~4G,共有text、data、note三个segment,其中note segment又是包含在text segment中。每个segment包含多个section,后面我们会讲到这些section是如何生成的。在这之前,需要了解链接脚本用到的两个地址:虚拟地址(VMA
#pragma DATA_SECTION 中的区别
huangminilong的博客
09-20 5294
data_section有两种写法,写法如下 : 一:c       #pragma DATA_SECTION(oddemo_rangeAzimuthHeatMap, ".l3data");        #pragma DATA_ALIGN(oddemo_rangeAzimuthHeatMap, 8);        float oddemo_rangeAzimuthHeatMap[ODDE...
[转]NSIS:使用SectionSetFlags根据不同环境自动勾选特定区段
weixin_30751947的博客
08-28 709
转自:http://www.flighty.cn/html/bushu/20140526_232.html 在微软SQL2000+SP4集成安装版安装包中可以根据目标操作系统自动勾选对应的版本,有同学问我这个功能是如何实现的,今天轻狂写一个短文统一回复一下。 重点就是使用了SectionSetFlags指令,以下是NSIS 用户手册中的说明: 设置区段标记。标记为 32 ...
内核函数KiInsertQueueApc说明
qq_45806710的博客
02-08 1576
根据KAPC结构中的PpcStateIndex找到对应的A队列3在根据KAPC结构中的ApoMode确定是用户队列函数内核队列 将KAPC挂到对应的队列中(挂 到KAPC的ApcKistEntry处) 7在根据KAPC结构中的Inserted置1,标识当前的APC为已插入状态 9修改KAPC_ STATE结构中的Kerne lApcPending/UserApcPending ...
Linux内核0.11完全注释:解析内核结构与进程控制
2.3 Linux内核进程控制是内核的关键组成部分,它管理着程序的执行实例——进程。在Linux中,程序和进程是有区别的:程序是静态的可执行文件,而进程则是动态的运行实体。系统最多可以支持64个并发进程,除了初始进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值