CPU控制块结构，每一个逻辑核都有一个KPCR结构描述当前CPU的各种信息。全局变量“KeNumberProcessors”中保存了当前机器的CPU核数。

在系统调用章节我们初步了解了KPCR的部分成员。

KPCR结构成员列表：

CPU控制块扩展块。全局变量“KiProcessorBlock”中保存了KPRCB的地址。

KPRCB结构成员列表：

其余字段在后续分析内核代码时再了解。

在3环下，每个进程都有一个PEB结构用来描述这个进程的一些信息。这些信息仅是为了3环更好的操作进程。而在0环，每个进程又有一个结构体用于描述该进程的所有信息：EPROCESS。

结构体成员列表：

+0 Pcb：Kprocess结构体。参考下文。

+98 ProcessLock：进程锁。修改EPROCESS结构存放锁结构，防止同时修改。改完了置0.

+A0 CreateTime：进程的创建时间。

+A8 ExitTime：进程的退出时间。

+B0 RundownProtect：进程锁。该字段置值后，进程无法被访问、打开、结束，相当于保护。但是会容易卡死。

+B4 UniqueProcessId：进程ID。任务管理器中显示的进程ID就是这个。

+B8 ActiveProcessLinks：双向链表。包括了windows中所有活动的进程。全局变量“PsActiveProcessHead”指向了这个链表的头部。通过该全局变量可以遍历整条链表。

+C0 ProcessQuotaUsage：进程物理页相关统计信息。

+C8 ProcessQuotaPeak：进程物理页相关统计信息。

+D0 CommitCharge：进程虚拟内存相关统计信息。

+D4 QuotaBlock：进程虚拟内存相关统计信息。

+D8 CpuQuotaBlock：进程虚拟内存相关统计信息。

+E4 SessionProcessLinks：会话进程链表。保存了当前登录的用户的所有进程。

+EC DebugPort：调试相关。如果该进程处于调试状态，这里会有值（一个结构体），该结构体用于进程与调试器之间通信。通过循环清0可以达到反调试效果。

+F0 ExceptionPortData：调试相关。

+F4 ObjectTable：进程的句柄表。句柄相关章节再学。

+F8 Token：进程Token。

+FC WorkingSetPage：表明当前进程用了多少个物理页。

+16C ImageFileName：当前进程的进程名。

+188 ThreadListHead：当前进程内所有线程的链表。

+198 ActiveThreads：当前进程内活动的线程数量。

+1A8 Peb。就是3环下该进程的PEB。（PEB结构此处不赘述了，网上有非常多的PEB结构说明。）

+1EC SeAuditProcessCreationInfo：当前进程完整路径。

+26C Flags2：一个联合体，每个位影响该进程的一些属性。

ProtectedProcess：进程保护位。该位置1后该进程被保护。CE看不到图片，打不开了进程。OD附加进程列表遍历不到。一个最简单的进程保护。

+270 Flags：一个联合体，每个位影响该进程的一些属性。

ProcessExiting：进程退出标志位。置1后表明该进程已退出，但实际还在运行。可以达到反调试的效果。同时进程无法使用任务管理器结束。

ProcessDelete：进程退出标志位。置1后表明该进程已退出，但实际还在运行。可以达到反调试的效果。同时进程无法使用任务管理器结束。

BreakOnTermination：该位置1后，任务管理器结束进程时将提示“是否结束系统进程XXX”。结束后windbg将会断下。

VmTopDown：该位置1时，VirtualAlloc一类的申请内存函数将会从大地址开始申请。

ProcessInserted：该位置0后，OD附加进程列表找不到该进程。任务管理器结束不掉该进程。CE打不开该进程，无图标。

+274 ExitStatus：进程退出状态码。进程创建时默认值是250（0x103）。如果不是这个值基本上就是进程退出了。

+278 VadRoot：标识当前进程用户空间（低2G）中哪些地址没被分配。该成员指向了一个二叉树。

Eprocess第一个成员是一个Kprocess结构。

Kprocess结构成员列表：

+0 Header：可等待对象头部。所有0环结构体只要以_DISPATCHER_HEADER结构开头的，都可以使用WaitForSingleObject等待。如互斥体、事件。

+10 ProfileListHead：性能分析相关，任务管理器，性能栏那些数据。

+18 DirectoryTableBase：页目录表基址。物理地址，指向页目录表，CR3中的值就从这里获取。

+2C ThreadListHead：当前进程的所有线程结构体链表。

+38 Affinity：亲核性。规定了当前进程内的所有线程可以在哪些CPU上跑，4字节，共32位，每一位对应一个CPU核。如000000A1，转换为二进制为1010 0001，则该进程中的线程只能在0、5、7号CPU上运行。因此32位系统最多支持32核CPU，64位系统支持64核CPU。该值仅为线程结构中的亲核性做初始化赋值使用，没有实际的限制功能。

如果只有1个CPU，但此处值为2（0010），则该进程为一个“死”了的进程。

+44 ReadyListHead：当前进程内的就绪线程链表。

+4C SwapListEntry：交换到文件磁盘上时使用该链表。记录了哪些内存被交换到文件里。

+50 ActiveProcessors：当前进程内正在运行的线程运行在哪些CPU上。

+5C AutoAlignment：强制内存对齐。一般为0。

+5C DisableBoost：置1为关闭当前进程内所有线程的时间碎片。（置1后，不会由于时间中断触发线程切换）

+60 BasePriority：基础优先级。该进程内所有线程最初的优先级。

+61 QuantumReset：当前进程内线程的初始时间碎片。每一次时钟中断会将线程中的时间碎片减6，为0时，切换线程。线程从就绪变为运行时，会从这个值中取到初始的时间碎片。改大这个值会让该进程内的线程跑的更久。

+78 ProcessListEntry：系统内所有进程的链表。win7及以上此处为空，已弃用。

+80 CycleTime：当前进程执行了多少个指令周期。当进程结束时才会被赋值，指明了该进程存活了多久。

+88 KernelTime：（统计信息）当前进程在0环的运行时间。当进程结束时才会被赋值，指明了该进程存活了多久。

+8C UserTime：（统计信息）当前进程在3环的运行时间。当进程结束时才会被赋值，指明了该进程存活了多久。

+90 VdmTrapcHandler：虚拟8086模式时使用。

与进程一样， 3环下有TEB描述某个线程。在0环，也有一个ETHREAD描述某个线程的所有信息。

ETHREAD结构成员列表：

与进程一样，第一个成员为KTHREAD结构。

KTHREAD结构成员列表：

每一个内核对象都有一个OBJECT_HEADER结构，大小为0x18。将某个内核对象地址-0x18就是OBJECT_HEADER结构地址。

OBJECT_HEADER结构成员列表：

线程大体上可分为3种状态：等待、正在运行、就绪。系统上的所有未处于正在运行状态的线程都被存储在两种链表中：等待链表+就绪链表。

全局变量KiWaitListHead是一个双向链表的头部，里面是所有等待执行的线程的ETHREAD结构，每个核都有一个等待链表。链表中每个节点指向ETHREAD中的KTHREAD->WaitListEntry。

当调用Sleep、WaitForSingleObject一类的等待函数时，该线程会被加入到这个链表中。

所有就绪的线程都会存储在就绪链表中，共有32个就绪链表（32位），所有核共享这32个链表，每个链表对应一个优先级（0~31）。全局变量KiDispatcherReadyListHead存储了这32个链表的起始位置。

操作系统中所有的线程 = 所有核中等待链表中的所有线程 + 32个就绪链表中所有线程 + 所有核的KPCR中正在运行的线程。

而通过遍历线程可以找到每个线程所属的进程。即使断链也无法阻挡这种遍历。

在逆向windows线程切换逻辑之前，先自己写一个模拟的线程切换代码，感受下线程切换的大体思路。

滴水模拟线程切换源码：https://wwi.lanzoui.com/iKbe0vdd95g

首先初始化四个线程。然后观察初始化函数RegisterGMThread。

代码中定义了一个线程池，是一个全局数组变量，每个元素都是自定义的线程结构体。

initGMThread函数里首先为新线程分配一个堆栈空间。

然后向分配出来的堆栈空间里压入了几个初始值，这些值皆是线程切换时要用到的数值，在创建完第一次被切换时这些值会作为初始值参与线程切换。而其中的push 9作用只是为了占用4个字节。这里需要配合后文线程切换函数才能体会到这4字节的作用。

至此，线程初始化工作完成，我们接下来需要看看线程是怎么跑起来的，怎么切换的。

main函数中初始完四个线程结构后，进入死循环，每隔20毫秒调用一次线程切换函数Scheduling。这相当于Windows线程切换中的时钟中断。当执行了20毫秒后，强制切换当前线程。

遍历线程池，找到第一个处于就绪状态的线程。随后调用SwitchContext开始切换线程。

保存当前线程的寄存器，并将当前线程的ESP单独存入线程结构体的KernelStack中。当线程被切换回来时拿着这个ESP可以继续执行代码。

还原新线程的寄存器。

最后执行个ret，此时的ret返回的地址就是线程初始化函数initGMThread压入的GMThreadStartup函数地址。

这个函数是线程函数的调度函数。由于在初始化时压入了线程结构体指针。因此可以直接使用这个结构体去调用线程函数。如果这个线程函数执行完，就会切换到下一个线程。

函数调用约定中，ESP为返回地址，ESP+4为第一个参数。因为上文线程初始化函数中push 9占用了4字节，所以这里ESP+4刚好指向了预先压入的线程结构体。这就是push 9占用四字节的妙处。

然后我们还需要看看其中一个线程函数，发现里面有自定义的GMSleep函数。

GMSleep函数会将当前线程设置为休眠状态，并设置休眠时间。在线程切换时会遍历线程判断休眠时间是否结束来恢复就绪状态。当线程调用GMSleep时代表主动提出休眠，此时会调用线程切换函数Scheduling将执行权交给下一个就绪线程。这就是主动切换。

这一份简单的模拟线程切换的Demo具有如下特点：

KPRCB中ReadySummary成员（0x31EC）为就绪位图，4字节32位。每一位对应一条就绪链表。某一位为1则说明对应的就绪链表中有等待执行的线程。32条就绪链表存储在KPRCB中DispatcherReadyListHead成员。

如：ReadySummary值为5，二进制0101，说明第0号、第3号就绪链表中存在待执行线程。在线程切换时就会从这两个链表中取待切换的线程。

KiFindReadyThread有三个函数，通过交叉引用回溯可以知道三个函数的意义：

首先代码会解析就绪位图，找到优先级最高且包含就绪线程的就绪链表索引号。通过代码逻辑可以得知，就绪链表索引号越大，优先级越高。

随后遍历就绪链表中所有线程，对比线程亲核性是否与当前核一致。只有当核组与核编号全部一样时才可以。若当前就绪链表内所有线程都不满足亲核性，则更换下一条就绪链表。若所有就绪链表中的线程都不满足，则返回0。

若成功找到一个满足亲核性的线程，则会将这个线程从就绪链表中摘除，然后继续判断该线程所在就绪链表是否为空（所谓空，为去掉空闲线程之后。CPU不会休息，所以系统准备了一个循环无意义线程让CPU保持活性），如果为空则将KPRCB中的就绪位图对应的位至0，代表这个就绪链表里没有就绪线程了。 然后会将找到的那个可用的线程的NextProcessor成员设置为当前核编号以准备运行。最终返回找到的线程的结构体首地址。

一个物理核为一组，里面有很多逻辑核。 线程的亲核性如果设置多核，那么这些核也都会属于一个核组。所以代码层会先判断核组，再判断具体的核。

通过对KiFindReadyThread函数的逆向得知（仅对于实验中这个win7 X86版本）：

Windows经常优化线程调度算法，不同版本系统的代码可能会有不同。

Windows线程切换有两种方式：主动切换（调用WaitForSingleObject、Sleep一类的延迟等待函数）、被动切换（CPU时钟中断）。

WRK中定义的线程状态枚举如下：

Windows线程切换细节很多，目前的知识只要逆向主流程就可以，分支流程不需要太关注。

对KiSwapThread进行多次交叉引用，得出结论：绝大部分API底层都会调用WaitForSingleObject一类的函数，此时会调用KiSwapThread切换线程。

通过交叉引用向上回溯，得知KiSwapThread有两个参数：

首先判断延迟就绪链表中是否有值，如果有值就唤醒里面的线程。

然后是性能统计相关，不需要关注，直接跳过去。

调用函数KiSearchForNewThread获取一个就绪线程。

判断这个就绪线程是不是空闲线程，是不是与当前线程相同。

如果就绪线程通过了上面的判断，则调用SwapContext。

KiSwapContext中没有做什么事情，只是调用了SwapContext，传入新、老线程。

首先判断新线程的运行状态，如果正在运行就执行自旋直到新线程处于非运行状态。

随后将新线程运行状态置为 1 ，代表将要切换了。然后执行性能统计。

然后处理浮点相关数据。

切换堆栈，切换后再判断新老线程是否为同一个进程。如果不是同一个进程，再切换CR3。

然后处理浮点相关，还原CR0、浮点寄存器一类的东西，不重要。

随后处理DPC、APC，目前知识不够，暂时不用管这部分，处理完后就返回了。

WIndows的线程切换有很多细节，目前的知识点不足以把每一行代码的功能作用都分析透彻，总体分析完毕能得出以下结论：

除了API主动切换线程，Windows还具备另外一种线程切换方式：时钟中断（可屏蔽）。接下来论证一下。

windbg输入命令 !idt 查看idt表中对应的函数，其中有一项名为hal!HalpHpetClockInterrupt。

该函数属于hal模块，但Windows系统对于不同的处理器提供了不同的hal模块。在Windbg中输入命令lm查看当前Windows使用的hal模块全名称。我这里的是halmacpi.dll

定位至HalpHpetClockInterrupt函数，简单看一下函数的调用结构，可以发现函数内部共调用了HalBeginSystemInterrupt@12、HalpHpetClockInterruptWork@0、KeUpdateSystemTime@0三个函数。

进入前两个函数发现没什么实际功能，最后一个函数用于调用ntoskrnl模块的KeUpdateSystemTime函数。

定位至ntoskrnl模块的KeUpdateSystemTime函数，发现这个函数非常长。慢慢往下翻，该函数会调用KeUpdateRunTime函数。

KeUpdateRunTime函数内部会调用hal模块的HalRequestSoftwareInterrupt函数。该函数会触发软件中断。

HalRequestSoftwareInterrupt内部调用KfLowerIrql函数。

KfLowerIrql函数调用HalpCheckForSoftwareInterrupt函数。该函数用于检查软件中断。

HalpCheckForSoftwareInterrupt函数内部会调用HalpDispatchSoftwareInterrupt来派发软件中断。

再调用ntoskrnl的KiDispatchInterrupt函数来执行派发。

而在KiDispatchInterrupt函数中会调用KiQueueReadyThread与SwapContext函数，因此会导致线程切换。

上文论证了时钟中断会导致线程切换，整体执行流程为：

通过对流程的分析，还可以得出另外一个结论：软件中断会导致线程的切换。保护模式章节提到过int X一类的软件中断本质为异常。因此，在Windows操作系统中，调用绝大部分API 以及 触发各种异常 均会导致线程的切换。如果想让自己的线程永远占有CPU，则不可以调用API、不能触发异常（内存访问也可能触发缺页异常，在用户层是看不出来的）。

windows的进程线程管理非常复杂，这里仅对主线功能进行了分析。目的是认识进程线程，摆脱传统的进程线程观念。

在Win7系统中，由于不存在PG，因此可以HOOK SwapContext，达到替换指定线程的GDT、IDT的效果，从而绕过一些防护检测。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)