[原创]DPC机制分析记录-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]DPC机制分析记录

发表于: 2018-4-24 16:21 10445

[原创]DPC机制分析记录

cat喵

2018-4-24 16:21

10445

在 APC机制分析中是主要分析了APC的执行流程，初始化、插入和派发，这里主要分析一下DPC的相关机制。
在此之前总结一下APC主要的应用点，由于初学不久，很多不全的请补充分享一下，毕竟对大神可能很简单的，对我们小白其实根本看不到路，甚至不知道有这条路，谢谢。

在用户层没有可以对DPC进行相关操作的函数，直接从0环开始分析。
KiInitializeDpc用于初始化DPC对象，
该函数只被KeInitializeDpc和KeInitializeThreadedDpc所调用，这个和DPC的类型有关，下面会分析到。

以上就是初始的全部内容，十分简单。
插入DPC在KeInsertQueueDpc中实现。

DpcData = KiSelectDpcData(TargetPrcb, Dpc);

KiSelectDpcData内部的获取逻辑也很简单

如果Dpc.Type==ThreadedDpcObject并且CPU的环境块的TargetPrcb->ThreadDpcEnable==TRUE，那么返回 Prcb->DpcData[DPC_THREADED]

一般的Dpc就返回 Prcb->DpcData[DPC_NORMAL]

那么经过上面的步骤，已经获取了当前核心的_KPDC_DATA数据对象DpcData。

如果 Dpc->DpcData是NULL，说明DPC object不在Dpc Queue中，
那么增加当前核心DpcData的DpcCount+=1,增加DpcQueueDepth+=1,
设置Dpc对象的参数1和参数2。

如果Dpc->DpcData不是NULL，就什么都不做，因为它已经在DPC队列中了。

上面DPC已经插入到了当前CPU的DPC队列或者指定CPU的DPC队列中。

这部分在Wrk源码和ReactOS源码上查找到的引用有些出入，错误之处希望指正。

最后注意，DPC不会受线程切换影响，因为线程切换也是在DISPATCH_LEVEL，所以无法中断当前DPC的执行。

APC是线程相关的，每个线程有一个APC队列；
而DPC是CPU核心相关的，每个CPU核心有一个DPC队列。

APC级别可以访问分页内存，DPC级别是不能访问分页内存的
（在同一处理器上，线程只能被更高级别IRQL的线程所中断。每个处理器都有自己的中断IRQL。）

PspTerminateThreadByPointer；
KeInitializeApc (ExitApc,
                PsGetKernelThread (Thread),
                OriginalApcEnvironment,
                PsExitSpecialApc,//里面调用了PspExitThread用于结束线程
                PspExitApcRundown,
                PspExitNormalApc,
                KernelMode,
                ULongToPtr (ExitStatus));

typedef struct _KDPC_DATA {
    LIST_ENTRY DpcListHead;
    KSPIN_LOCK DpcLock;
    volatile ULONG DpcQueueDepth; //深度
    ULONG DpcCount;
} KDPC_DATA, *PKDPC_DATA;

typedef struct _KDPC {
    UCHAR Type; //DPC类型（分为普通DPC和线程化DPC）
    UCHAR Importance; //该DPC的重要性，将决定挂在队列头还是尾
    UCHAR Number; //第5位为0就表示当前cpu，否则，最低4位表示目标cpu号
    UCHAR Expedite; 
    LIST_ENTRY DpcListEntry; //用来挂入dpc链表,和_KDPC_DATA中的DpcListHead对应，
                             //内核中很多这样的结构安排
 
    PKDEFERRED_ROUTINE DeferredRoutine; //dpc函数
    PVOID DeferredContext; //dpc函数的参数
    PVOID SystemArgument1;
    PVOID SystemArgument2;
    PVOID DpcData;
} KDPC, *PKDPC, *PRKDPC;

Dpc->Type = (UCHAR)DpcType;//和ApcObject一样，属于_KOBJECTS枚举，分为DpcObject和ThreadedDpcObject(线程化的DPC对象)
Dpc->Importance = MediumImportance; //重要性决定了DPC挂在队列的顺序
Dpc->Number = 0; //初始的目标cpu为当前cpu
Dpc->Expedite = 0;
 
Dpc->DeferredRoutine = DeferredRoutine; //函数地址
Dpc->DeferredContext = DeferredContext; //函数参数
Dpc->DpcData = NULL; //表示该DPC尚未挂入任何DPC队列

//首先进行参数检查
 if (Dpc->Number >= MAXIMUM_PROCESSORS/*32*/) {
         //修正Number
        Number = Dpc->Number - MAXIMUM_PROCESSORS;
        //KiProcessorBlock是PKPRCB的数组，
        //这里取出DPC->Number对应的_KPRCB是因为DPC是CPU核心相关
        TargetPrcb = KiProcessorBlock[Number];
 
    } else {
        //参数不需要修正的分支,就是当前CPU的PRCB
        Number = CurrentPrcb->Number;
        TargetPrcb = CurrentPrcb;
    }

1. 如果Dpc->Importance == HighImportance，那么把DPC挂载在Dpc队列的头部，`InsertHeadList(&DpcData->DpcListHead, &Dpc->DpcListEntry);`，DPC队列就是由的CPU环境块中的dpcData进行维护。
2. 否则把DPC插入核心DPC队列的尾部
 
----------------------------------------
 
1. 如果DPC是线程化的DPC对象 DpcData == &TargetPrcb->DpcData[DPC_THREADED]，且
`TargetPrcb->DpcThreadActive == FALSE&&
TargetPrcb->DpcThreadRequested == FALSE`,也就是说Dpc线程不是活动状态，因为执行Dpc的时候会设置TargetPrcb->DpcThreadActive == TRUE。这种情况下设置如下PRCB的标志：
TargetPrcb->DpcSetEventRequest=TRUE；//设置Prcb->DpcEvent有信号
TargetPrcb->DpcThreadRequested = TRUE;
TargetPrcb->QuantumEnd = TRUE;
也就是要把线程唤醒。
 
2. 如果DPC指定的不是当前CPU的PRCB，那么做一些检测以判断是否需要线程唤醒。
 
-------------------------------------------------------
 
1.如果DPC是一般的DPC对象，且
`TargetPrcb->DpcRoutineActive == FALSE&&
TargetPrcb->DpcInterruptRequested == FALSE`的情况下，
然后判断只要Dpc的Importance不是LowImportance或者
DpcData->DpcQueueDepth已经超过了PRCB的MaximumDpcQueueDepth（最大Queue深度）
获取TargetPrcb->DpcRequestRate小于TargetPrcb->MinimumDpcRate（最小请求率），
那么就会请求当前CPU的dispatch 中断，
且设置 TargetPrcb->DpcInterruptRequested=TRUE。
 
---------------------------------------------
 
那么经过上面的判断检验，需要dispatch 中断的都会执行
` KiRequestSoftwareInterrupt(DISPATCH_LEVEL);`,
这个函数在APC分析中也看到了，只不过那里的参数是APC_LEVEL。
这是由于APC是运行在APC_LEVEL,而DPC是运行在DISPATCH_LEVEL的。

if (KeThreadDpcEnable != FALSE)；//threaded DPCs是启用的
KeInitializeEvent(&Prcb->DpcEvent, SynchronizationEvent, FALSE);
InitializeListHead(&Prcb->DpcData[DPC_THREADED].DpcListHead);
KeInitializeSpinLock(&Prcb->DpcData[DPC_THREADED].DpcLock);
Prcb->DpcData[DPC_THREADED].DpcQueueDepth = 0;
 
Status = PsCreateSystemThread(&Handle,
                              THREAD_ALL_ACCESS,
                              &ObjectAttributes,
                              NULL,
                              NULL,
                              KiExecuteDpc,//注意这里
                              Prcb);//参数

//线程优先级最高
KeSetPriorityThread(Thread, HIGH_PRIORITY);
//启用线程化Dpc，前面KiSelectDpcData获取线程化的KDPC_DATA
//就会检查该字段是否为TRUE
Prcb->ThreadDpcEnable = TRUE;
//取出链表头，注意是取得DPC_THREADED中的
 ListHead = &Prcb->DpcData[DPC_THREADED].DpcListHead;
 
 
 do{
 //设置为TRUE，和前面对应
 Prcb->DpcThreadActive = TRUE;
 
 //调用DPC回调函数(此时的IRQL==PASSIVE_LEVEL)
 (DeferredRoutine)(Dpc,
                     DeferredContext,
                     SystemArgument1,
                    SystemArgument2);
 ...........
 //深度来判断DPC是否为空
 }while(Prcb->DpcData[DPC_THREADED].DpcQueueDepth != 0);
 
 //设置标志，和前面相对应
  Prcb->DpcThreadActive = FALSE;
  Prcb->DpcThreadRequested = FALSE;
 
  //最后判断如果线程华DPC list是空的，那么
  KeWaitForSingleObject(&Prcb->DpcEvent, //等待该事件，和Prcb->DpcSetEventRequest标志有关，在KiQuantumEnd中让事件有信号
                          Suspended,               
                        KernelMode, 
                        FALSE,
                        NULL);

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・22

免费・1

支持

赞赏记录

参与人

雪币

留言

时间

PLEBFE

为你点赞~

2023-2-6 00:12

最新回复 (11)
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 2 楼分析的很不错 2018-6-26 20:32 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 3 楼被挂起的线程收到DPC事件后会被唤醒？ 2018-6-26 20:48 0
lvyues 雪币： 1202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lvyues 4 楼应该是用户APC吧 2018-6-26 23:31 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 5 楼兔oO 被挂起的线程收到DPC事件后会被唤醒？我也不确定是不是立刻唤醒，但是根据源码确实会经过一系列判断后唤醒线程，一般来说DPC在ISR后面降低IRQL级别的时候会去扫描时候有DPC队列，如果有就会执行。触发的具体语句就是KiRequestSoftwareInterrupt这一句。不对的地方请指正。 2018-7-4 11:03 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 6 楼 wx_尚煜应该是用户APC吧 DPC啊，不是用户APC吧 2018-7-4 11:03 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 7 楼 cat喵我也不确定是不是立刻唤醒，但是根据源码确实会经过一系列判断后唤醒线程，一般来说DPC在ISR后面降低IRQL级别的时候会去扫描时候有DPC队列，如果有就会执行。触发的具体语句就是KiRequestSo ... 貌似不对 ~当前线程处于挂起状态 ~并不存在线程的调度列队所有不会被切换按道理线程只有被切换的时候才会执行DPC 2018-7-6 09:59 0
又出bug了雪币： 348 活跃值： (471) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 96 粉丝 31 关注私信	又出bug了 2 8 楼 dpc和cpu相关 apc和线程相关 === 讨论dpc和进程、线程的关联不大，甚至没什么关联最后于 2018-7-6 11:11 被又出bug了编辑，原因： 2018-7-6 11:11 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 9 楼兔oO 貌似不对 ~当前线程处于挂起状态 ~并不存在线程的调度列队所有不会被切换按道理线程只有被切换的时候才会执行DPC enen，不过我认为DPC执行的时机应该是和线程切换没关系的，是在IRQL请求级别降低到DISPATCH_LEVEL以下的时候执行的，APC才和线程切换有关系，这一点应该是没错的。然后我上面确实有写唤醒线程，但是确实是表述有误，估计我当时也理解有错吧。具体可参看KiQuantumEnd函数中有相关的线程切换的逻辑，当我再次去寻找的时候发现这个函数在KiDispatchInterrupt被调用，在KiDispatchInterrupt函数中会用KiRetireDpcList函数首先处理当前核心的DPC队列，最后可能会发生线程切换。不过如@又出bug了老哥说的一样，感觉上讨论DPC和线程的关系意义似乎不大，我乱写的锅。所以总结上来看在执行完成DPC队列后会尝试切换线程，具体是否切换线程需要具体判断，而我写的线程唤醒是有问题的，我上面说的关于KiDispatchInterrupt只是一部分的逻辑，是有分支的，在分支中也有线程切换，具体请自行翻阅一下。 2018-7-11 14:40 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 10 楼又出bug了 dpc和cpu相关apc和线程相关===讨论dpc和进程、线程的关联不大，甚至没什么关联谢谢老哥指点，我觉得你说的这个确实短小精悍是核心 2018-7-11 14:41 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 11 楼每当降低当前IRQL的时候也会执行DPC 2018-7-30 10:24 0
印度硬汉雪币： 4 活跃值： (504) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	印度硬汉 12 楼 cat喵 enen，不过我认为DPC执行的时机应该是和线程切换没关系的，是在IRQL请求级别降低到DISPATCH_LEVEL以下的时候执行的，APC才和线程切换有关系，这一点应该是没错的。然后我上面确实有写 ... 老哥，你这看的IRQL级别降低的时候执行DPC，有到windows中去验证过么？ 2020-6-30 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cat喵

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 2 楼分析的很不错 2018-6-26 20:32 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 3 楼被挂起的线程收到DPC事件后会被唤醒？ 2018-6-26 20:48 0
lvyues 雪币： 1202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lvyues 4 楼应该是用户APC吧 2018-6-26 23:31 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 5 楼兔oO 被挂起的线程收到DPC事件后会被唤醒？我也不确定是不是立刻唤醒，但是根据源码确实会经过一系列判断后唤醒线程，一般来说DPC在ISR后面降低IRQL级别的时候会去扫描时候有DPC队列，如果有就会执行。触发的具体语句就是KiRequestSoftwareInterrupt这一句。不对的地方请指正。 2018-7-4 11:03 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 6 楼 wx_尚煜应该是用户APC吧 DPC啊，不是用户APC吧 2018-7-4 11:03 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 7 楼 cat喵我也不确定是不是立刻唤醒，但是根据源码确实会经过一系列判断后唤醒线程，一般来说DPC在ISR后面降低IRQL级别的时候会去扫描时候有DPC队列，如果有就会执行。触发的具体语句就是KiRequestSo ... 貌似不对 ~当前线程处于挂起状态 ~并不存在线程的调度列队所有不会被切换按道理线程只有被切换的时候才会执行DPC 2018-7-6 09:59 0
又出bug了雪币： 348 活跃值： (471) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 96 粉丝 31 关注私信	又出bug了 2 8 楼 dpc和cpu相关 apc和线程相关 === 讨论dpc和进程、线程的关联不大，甚至没什么关联最后于 2018-7-6 11:11 被又出bug了编辑，原因： 2018-7-6 11:11 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 9 楼兔oO 貌似不对 ~当前线程处于挂起状态 ~并不存在线程的调度列队所有不会被切换按道理线程只有被切换的时候才会执行DPC enen，不过我认为DPC执行的时机应该是和线程切换没关系的，是在IRQL请求级别降低到DISPATCH_LEVEL以下的时候执行的，APC才和线程切换有关系，这一点应该是没错的。然后我上面确实有写唤醒线程，但是确实是表述有误，估计我当时也理解有错吧。具体可参看KiQuantumEnd函数中有相关的线程切换的逻辑，当我再次去寻找的时候发现这个函数在KiDispatchInterrupt被调用，在KiDispatchInterrupt函数中会用KiRetireDpcList函数首先处理当前核心的DPC队列，最后可能会发生线程切换。不过如@又出bug了老哥说的一样，感觉上讨论DPC和线程的关系意义似乎不大，我乱写的锅。所以总结上来看在执行完成DPC队列后会尝试切换线程，具体是否切换线程需要具体判断，而我写的线程唤醒是有问题的，我上面说的关于KiDispatchInterrupt只是一部分的逻辑，是有分支的，在分支中也有线程切换，具体请自行翻阅一下。 2018-7-11 14:40 0
cat喵雪币： 474 活跃值： (252) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 20 粉丝 15 关注私信	cat喵 1 10 楼又出bug了 dpc和cpu相关apc和线程相关===讨论dpc和进程、线程的关联不大，甚至没什么关联谢谢老哥指点，我觉得你说的这个确实短小精悍是核心 2018-7-11 14:41 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 11 楼每当降低当前IRQL的时候也会执行DPC 2018-7-30 10:24 0
印度硬汉雪币： 4 活跃值： (504) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	印度硬汉 12 楼 cat喵 enen，不过我认为DPC执行的时机应该是和线程切换没关系的，是在IRQL请求级别降低到DISPATCH_LEVEL以下的时候执行的，APC才和线程切换有关系，这一点应该是没错的。然后我上面确实有写 ... 老哥，你这看的IRQL级别降低的时候执行DPC，有到windows中去验证过么？ 2020-6-30 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]DPC机制分析记录

账号登录 验证码登录

账号登录

验证码登录