Windows APC學習筆記（二）—— 掛入過程&執行過程

• • 基礎知識
  • 掛入過程
  • • KeInitializeApc
    • ApcStateIndex
    • KiInsertQueueApc
    • Alertable
  • 執行過程
  • • 內核APC執行過程
    • • 執行點：線程切換
      • SwapContext
      • KiServiceExit
      • KiDeliverApc
      • 總結
    • 用戶APC執行過程
    • • 執行用戶APC時的堆棧操作
      • KiDeliverApc
      • KiInitializeUserApc函數分析：備份CONTEXT
      • ntdll.KiUserApcDispatcher
      • 總結

基礎知識

無論是正常狀態還是掛靠狀態，都有兩個APC隊列，一個內核隊列，一個用戶隊列

每當要掛入一個APC函數時，不管是內核APC還是用戶APC，內核都要準備一個KAPC的數據結構，并且將這個KAPC結構掛到相應的APC隊列中

kd> dt _KAPC ntdll!_KAPC+0x000 Type : Int2B //類型 APC類型為0x12+0x002 Size : Int2B //本結構體的大小 0x30+0x004 Spare0 : Uint4B //未使用+0x008 Thread : Ptr32 _KTHREAD //目標線程+0x00c ApcListEntry : _LIST_ENTRY //APC隊列掛的位置+0x014 KernelRoutine : Ptr32 void //指向一個函數(調用ExFreePoolWithTag 釋放APC)+0x018 RundownRoutine : Ptr32 void //略+0x01c NormalRoutine : Ptr32 void //用戶APC總入口 或者 真正的內核apc函數+0x020 NormalContext : Ptr32 Void //內核APC：NULL 用戶APC：真正的APC函數+0x024 SystemArgument1 : Ptr32 Void //APC函數的參數1+0x028 SystemArgument2 : Ptr32 Void //APC函數的參數2+0x02c ApcStateIndex : Char //掛哪個隊列，有四個值：0 1 2 3+0x02d ApcMode : Char //內核APC 用戶APC+0x02e Inserted : UChar //表示本apc是否已掛入隊列 掛入前：0 掛入后 1

掛入過程

用戶層調用：QueueUserAPC（kernel32.dll）→NtQueueApcThread（ntosker.exe）→內核層

很多內核函數調用：KeInitializeApc（分配空間 初始化KAPC結構體）→KeInsertQueueApc→KiInsertQueueApc（將KAPC插入指定APC隊列）

KeInitializeApc

描述：這個函數只做了一件事，那就是給當前KAPC結構體賦值，KAPC結構體的空間在NtQueueApcThread中分配

VOID KeInitializeApc (IN PKAPC Apc, //KAPC指針IN PKTHREAD Thread, //目標線程IN KAPC_ENVIRONMENT TargetEnvironment, //0 1 2 3四種狀態IN PKKERNEL_ROUTINE KernelRoutine, //銷毀KAPC的函數地址IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,IN PKNORMAL_ROUTINE NormalRoutine, //用戶APC總入口或者內核apc函數IN KPROCESSOR_MODE Mode, //要插入用戶apc隊列還是內核apc隊列IN PVOID Context //內核APC：NULL 用戶APC：真正的APC函數 )

ApcStateIndex

與 KTHREAD(+0x165) 的屬性同名，但含義不一樣：
ApcStateIndex 有四個值：
0：原始環境； 1：掛靠環境 2：當前環境 3：插入APC時的當前環境
正常情況下：ApcStatePointer[0] 指向 ApcState；ApcStatePointer[1] 指向 SavedApcState
掛靠情況下：ApcStatePointer[0] 指向 SavedApcState；ApcStatePointer[1] 指向 ApcState

初始化的時候，獲取當前進程的ApcStateIndex，放入KAPC中

插入的時候，APC環境可能會發生變化；當真正執行插入的時候，再執行一次判斷（獲取ApcStateIndex，放入Kapc中）；真正執行插入APC的函數為KiInsertQueueApc

KiInsertQueueApc

步驟：

根據KAPC結構中的ApcStateIndex找到對應的APC隊列

再根據KAPC結構中的ApcMode確定是用戶隊列還是內核隊列

將KAPC掛到對應的隊列中(掛到KAPC的ApcListEntry處)

再根據KAPC結構中的Inserted置1，標識當前的KAPC為已插入狀態

修改KAPC_STATE結構中的KernelApcPending/UserApcPending

Alertable

描述：

Alertable=0，UserApcPending = 0：當前插入的APC函數未必有機會執行

Alertable=1 ，UserApcPending = 1：將目標線程喚醒(從等待鏈表中摘出來，并掛到調度鏈表)

kd> dt _KTHREAD
ntdll!_KTHREAD
…
+0x164 Alertable : UChar
…

可通過以下兩個函數手動設置Alertable：

DWORD SleepEx(DWORD dwMilliseconds, // time-out intervalBOOL bAlertable // early completion option ); DWORD WaitForSingleObjectEx(HANDLE hHandle, // handle to objectDWORD dwMilliseconds, // time-out intervalBOOL bAlertable // alertable option );

執行過程

描述：

APC函數的執行與插入并不是同一個線程，具體點說：
在A線程中向B線程插入一個APC，插入的動作是在A線程中完成的，但什么時候執行則由B線程決定!，所以叫“異步過程調用”

內核APC函數與用戶APC函數的執行時間和執行方式也有區別

內核APC執行過程

執行點：線程切換

SwapContext 判斷是否有內核APC

KiSwapThread

KiDeliverApc 執行內核APC函數

SwapContext

返回前：

返回后：

KiServiceExit

KiDeliverApc

執行過程：

判斷第一個鏈表是否為空

判斷KTHREAD.ApcState.KernelApcInProgress是否為1

判斷是否禁用內核APC(KTHREAD.KernelApcDisable是否為1)

將當前KAPC結構體從鏈表中摘除

執行KAPC.KernelRoutine指定的函數 釋放KAPC結構體占用的空間

將KTHREAD.ApcState.KernelApcInProgress設置為1 標識正在執行內核APC

執行真正的內核APC函數(KAPC.NormalRoutine)

執行完畢 將KernelApcInProgress改為0

循環

反匯編：

總結

執行點一：線程切換的時候，這就意味著只要插入內核APC很快就會執行；
執行點二：R0返回到R3時

如果有用戶APC需要處理時，一定會先處理內核APC

內核APC在內核空間執行，不需要換棧，一個循環全部執行完畢

用戶APC執行過程

執行用戶APC時的堆棧操作

處理用戶APC要比內核APC復雜的多，因為，用戶APC函數要在用戶空間執行的，這里涉及到大量換棧的操作：

當線程從用戶層進入內核層時，要保留原來的運行環境，比如各種寄存器，棧的位置等等 (_Trap_Frame)，然后切換成內核的堆棧，如果正常返回，恢復堆棧環境即可。

但如果有用戶APC要執行的話，就意味著線程要提前返回到用戶空間去執行，而且返回的位置不是線程進入內核時的位置，而是返回到其他的位置，每處理一個用戶APC都會涉及到：
內核–>用戶空間–>再回到內核空間

堆棧的操作比較復雜，如果不了解堆棧的操作細節不可能理解用戶APC是如何執行的

KiDeliverApc

執行過程：

判斷用戶APC鏈表是否為空

判斷第一個參數是為1

判斷ApcState.UserApcPending是否為1

將ApcState.UserApcPending設置為0

鏈表操作 將當前APC從用戶隊列中拆除

調用函數(KAPC.KernelRoutine)釋放KAPC結構體內存空間

調用KiInitializeUserApc函數

反匯編：

KiInitializeUserApc函數分析：備份CONTEXT

描述：

線程進0環時，原來的運行環境(寄存器棧頂等)保存到 _Trap_Frame 結構體中，如果要提前返回3環去處理用戶APC，就必須要修改 _Trap_Frame 結構體：

比如：進0環時的位置存儲在EIP中，現在要提前返回，而且返回的并不是原來的位置，那就意味著必須要修改EIP為新的返回位置。還有堆棧ESP，也要修改為處理APC需要的堆棧。那原來的值怎么辦呢?處理完APC后該如何返回原來的位置呢？

KiInitializeUserApc要做的第一件事就是備份：
將原來 _Trap_Frame 的值備份到一個新的結構體中(CONTEXT),這個功能由其子函數KeContextFromKframes來完成

反匯編：
一、備份CONTEXT


二、備份局部變量

三、準備用戶層需要的環境

段寄存器：SS DS FS GS

修改EFLAGS寄存器

修改ESP

修改EIP

ntdll.KiUserApcDispatcher

描述：

當用戶在3環調用QueueUserAPC函數來插入APC時，不需要提供
NormalRoutine，這個參數是在QueueUserAPC內部指定的：Kernel.BaseDispatchAPC

ZwContinue函數的意義：

返回內核，如果還有用戶APC，重復上面的執行過程

如果沒有需要執行的用戶APC，會將CONTEXT賦值給 Trap_Frame 結構體，就像從來沒有修改過一樣；
ZwContinue后面的代碼不會執行，線程從哪里進0環仍然會從哪里回去

反匯編：

總結

內核APC在線程切換時執行，不需要換棧，比較簡單，一個循環執行完畢

用戶APC在系統調用、中斷或異常返回3環前會進行判斷，如果有要執行的用戶APC，再執行

用戶APC執行前會先執行內核APC

總結

以上是生活随笔為你收集整理的Windows APC学习笔记（二）—— 挂入过程执行过程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。