-
-
[原创]基于Wrk和ReactOS源码分析APC机制的记录
-
发表于: 2018-4-23 21:53
-
|
|
|---|---|
|
|
|
|
|
这个参考资料不错,读wrk源码时拿来对比,可节省不少分析时间;
apc 是 “异步过程调用” 的首字母缩写,每个内核模式线程都有一个内核模式 apc 队列,因此它执行在特定线程的上下文中, 它的交付机制与 APC 中断有关;
驱动程序创建的线程经常使用 apc 机制来在 I/O 完成时进行定制的处理; 站在内核安全的角度来看,其实我们只需意识到,线程的 KTHREAD 结构关联到其 apc 队列,把 apc 结构中的 KernelRoutine 函数指针设置为 PspExitThread(),就能够终止宿主线程(比如反病毒的),因此 apc 也经常被后门程序、rootkit 用作自我保护机制之一 
最后于 2018-4-24 00:40
被shayi编辑
,原因:
|
|
|
|
|
|
楼主你好,上面图片有几处内容丢失,建议将原版word或pdf格式文章放到附件中,暂时解决问题。我会联系坛主处理你提到的发帖问题。
  
最后于 2018-4-24 09:50
被KevinsBobo编辑
,原因:
|
|
|
刚才联系了坛主:WORD 转过来的,估计有很多非法标签,安全策略过滤掉了。这个问题正在改进中
|
|
|
噢噢,谢谢,我还是用markdown把,我上传一下附件,没注意截图的问题,长图截图的bug |
|
|
|
|
|
|
|
|
|
KevinsBobo
