目录
前言
KiFindReadyThread
参数分析
函数实现
KiSelectReadyThread
前言
在分析KiFindReadyThread函数前,需要了解KTHREAD, KPCR中部分成员.
- 正在运行的线程存储在FS:[0x124]->KPCR.KPRCB.CURRENTTHREAD.
- 就绪状态和等待状态的线程全在另外33个链表中.一个等待链表,32个调度链表.这些链表都使用了_KTHREAD->WaitListEntry这个位置,也就是说线程在某一时刻,只能属于其中一个圈.
- 等待链表(等待状态的线程)_KPRCB->WaitListHead(_LIST_ENTRY).线程调用了Sleep()或者 WaitForSingleObject()等函数时,就挂到这个链表.
- 调度链表(准备运行的线程)_KPRCB->DisPatcherReadyListHead([32] _LIST_ENTRY)是个数组存储了32个链表头(线程优先级0-31).
- 调度链表有32个圈,就是优先级:0 - 31. 0最低优先级 31最高优先级. 默认优先级一般是8(KPROCESS->BasePriority)改变优先级就是从一个圈里面卸下来挂到另外一个圈上.这32个圈是正在调度中的线程: 包括正在运行的和准备运行的.比如: 只有一个CPU但有10个线程在运行,那么某一时刻,正在运行的线程在KPCR中,其他9个在这32个圈中.
- _KPRCB->ReadySummary(Uint4B)就绪位图(当前核)每个二进制位表示一个线程优先级(0-31).
KiSearchForNewThread(查找就绪线程函数)中会先判断_KPRCB中NextThread(下个执行线程)是否有值,如果不存在下一个线程就会调用两个API来查找就绪线程KiFindReadyThread(通过就绪位图循环遍历到合适就绪线程),KiSelectReadyThread(通过指定优先级来查找).
KiFindReadyThread
逆向分析函数KiFindReadyThread查看Windows如何查找线程.
参数分析
IDA定位KiFindReadyThread函数
通过交叉引用分析函数参数(选择函数按X)
IDA解析参数为12字节,x86下每个参数占4字节,所以函数有3个参数.但是CALL前只有两个PUSH值
进入KiFindReadyThread函数内部查看参数,函数内部直接使用EAX传值给ESI并直接使用ESI,说明EAX也是一个参数
此时只需要分析CALL前 ESI, EDI, EAX, 值分别是什么?
ESI来自于调用函数KiSearchForNewThread的EAX
通过交叉引用查找调用函数,EAX来自于调用函数KiSwapThread中ESI
ESI又来自于上个函数的EDX,继续往上追
KiInSwapSingleProcess中定位到参数ESI来源FS:[20] _KPRCB
继续通过上述方法查找参数EDI来源
EDI来源于_kiProcessorBlock[EAX * 4](_kiProcessorBlock每个核对应的_KPRCB)
ESI为当前核_KPRCB, EDI为数组中取到的_KPRCB.
EAX为[EDI + 31ECh],EDI来源是_KPRCB,本机测试环境[EDI + 31ECh]为_KPRCB → ReadySummary就绪位图
至此参数分析完毕,进入函数功能分析.
函数实现