线程调度的监视

最新推荐文章于 2022-03-06 13:22:54 发布
最新推荐文章于 2022-03-06 13:22:54 发布
阅读量3.2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: windows底层核心編程 文章标签: thread hook c 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3732481
  pjf(jfpan20000@sina.com)
    接着上次的小话题说。
    上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看看效果。
    首先进入2000的SwapContext中,看看它作了什么。

0008:8040422C  OR        CL,CL
0008:8040422E  MOV       BYTE PTR ES:[ESI+2D],02
0008:80404233  PUSHFD                                          //ESP+4 -> EFLAGS
0008:80404234  MOV       ECX,[EBX]
0008:80404236  CMP       DWORD PTR [EBX+0000080C],00
0008:8040423D  PUSH      ECX                                 //ESP -> exception list 
0008:8040423E  JNZ       80404338
0008:80404244  MOV       EBP,CR0
0008:80404247  MOV       EDX,EBP
0008:80404249  MOV       CL,[ESI+2C]
0008:8040424C  MOV       [EBX+50],CL
0008:8040424F  CLI
0008:80404250  MOV       [EDI+28],ESP                    //将ESP存入了KTHREAD的KernelStack
0008:80404253  MOV       EAX,[ESI+18]
0008:80404256  MOV       ECX,[ESI+1C]
... ...
    很明显,ESP+8的地方就是在KiSwapThread中的调用SwapContext的返回地址,可由它得到SwapContext函数地址,但没必要,直接hook这个在KiSwapThread中的地址更好些。也可以直接修改上面那条Call指令。
    下面的问题就是找出一个KernelStack可访问的非当前线程,这个很容易。示例代码片断(在2000/XP测试):

以下内容为程序代码:

PCHAR GetSwapAddr()
{
PCHAR res = 0;
NTSTATUS  Status;
PETHREAD Thread;

if (*NtBuildNumber <= 2195)
Status = PsLookupThreadByThreadId((PVOID)4, &Thread);
else
Status = PsLookupThreadByThreadId((PVOID)8, &Thread);

if (NT_SUCCESS(Status))
{
if (MmIsAddressValid(Thread))
res = (PCHAR)*PULONG(PCHAR(Thread)+0x28);
if (MmIsAddressValid(res+8))
res = (PCHAR)*PULONG(res+8);
else
res = 0;
}

return res;
}

PBYTE GoBackAddr = 0;
__declspec(naked) VOID HookSwap()
{
_asm pushad
DbgPrint("%08x/n", KeGetCurrentThread());
_asm popad
_asm jmp DWORD PTR[GoBackAddr]
}

HookSwapFunc()
{
... ...
PCHAR SwapAddr = GetSwapAddr();
if (SwapAddr)
GoBackAddr = HookFunction(SwapAddr, HookSwap);
... ...
}


    HookFunction代码的具体实现自然是仁者见仁了。
    下面是一些结果:

 4.343  Default    SwapAddr=80404141
 4.343  Default    813b8c00
 4.343  Default    fe995480
 4.359  Default    81429660
 4.359  Default    81429260
 4.359  Default    805e5520
 4.359  Default    813e15c0
 4.359  Default    8139f500
 4.359  Default    8139f260
 4.375  Default    805e5520
 4.375  Default    812ea140
 4.390  Default    805e5520
 4.390  Default    8139f500
 4.390  Default    8139f260
 4.406  Default    805e5520
 4.422  Default    805e5520
 4.422  Default    fe995480
 4.422  Default    fe995480
 4.422  Default    fe995480
 4.422  Default    8139f500
 4.422  Default    8139f260
 4.422  Default    813a66e0

    没仔细想,可能有错,欢迎指出。
深入理解Java多线程调度线程池与优化技巧
JAVA开发区的博客
10-24 1163
线程池中的线程已经用完了,无法继续为新任务服务,同时,等待队列也已经排满了,再也塞不下新任务了。:通过复用已创建的线程,降低资源损耗、线程可以直接处理队列中的任务加快响应速度、同时便于统一监控和管理。)的调用都会使当前线程阻塞。该线程将会被放置到该 Object 的请求等待队列中,然后让出当前对。线程将会从等待队列中移除,重新成为可调度线程。它会与其他线程以常规的方式竞争对象同步请求。所拥有的所有的同步请求。任务调度的最小执行单位,每个线程拥有自己独立的。方法,调用之后会强制释放当前对象锁,所以在。
Nachos LAB1 线程机制和线程调度实现
litangusa的博客
10-26 1972
Author:LiTang Student ID:************* E-mail:[email protected] LAB1 线程机制和线程调度实现 调研Linux的进程控制块 五个互斥状态 状态 描述 TASK_RUNNING 表示进程正在执行,或者已经准备就绪,等待处理机调度 TASK_INTERRUPTIBLE 表示进程因等待某种资源而被挂起(阻塞态),一旦资源就绪,进程就会转化为TASK_RUNNING态 TASK_UNINTERRUPTIBLE 与TAS
线程调度分析、监控工具(demo)
12-04
线程调度图形化分析工具,根据优先级依次分行排列线程信息:分别显示 序号、优先级、线程名、线程调度运行图形化信息 可以统计运行次数、调度次数、实际运行时间、运行总时间(含被抢占时间)、有效运行时间比(实际运行时间/运行总时间),CPU使用率 可以在线监控,也可以导入数据分析 demo例程使用ti sys\bios 系统做演示,内含演示源代码及相应的数据 demo使用方式:加载.dat数据以及.out程序文件,通过ctrl+滚轮控制缩放,通过垂直、水平滚动条控制图形上下左右移动
观测线程状态
二月鸟
05-10 270
其中 ◆Join合并线程,待此线程执行完成后,再执行其他线程,其他线程阻塞,可以想象成插队 ◆礼让线程,让当前正在执行的线程暂停,但不阻塞,线程丛运行转到就绪,让cpu重新调度,礼让不一定成功! 看CPU心情 ◆线程休眠:sleep (时间)指定当前线程阻塞的毫秒数;sleep存在异常InterruptedException;sleep时间达到后线程进入就绪状态; .sleep可以模拟网络延时,倒计时等。每一个对象都有一个锁,sleep不会释放锁; public class Main { public.
线程状态观测、线程优先级、守护线程
m0_47801930的博客
03-06 290
线程 线程状态观测 Thread.State 线程状态。线程可以处于以下状态之一: NEW 尚未启动的线程处于此状态。 RUNNABLE 在Java虚拟机中执行的线程处于此状态。 BLOCKED 被阻塞等待监视器锁定的线程处于此状态。 WAITING 正在等待另一个线程执行特定动作的线程处于此状态。 TINED_WAITING 正在等待另一个线程执行动作达到指定等待时间的线程处于此状态。 TERMINATED 已退出的线程处于此状态。 package com.cjp.Stat
线程状态转换和调度
厉兵秣码
07-26 392
线程状态转换 初始状态/新建状态(New):新创建了一个线程对象。 就绪状态/可运行状态(Runnable):线程对象创建后,其他线程调用了该对象的start()方法,该状态的线程位于可运行线程池中,已经获取了运行所需要的资源,等待获取CPU的使用权。 运行状态(Running):就绪状态的线程获取了CPU的使用权,执行程序代码。 阻塞状态(Blocked):阻塞状态是线程因为某种原因放弃CPU的使用权,暂时停止运行。直到线程进入就绪状态,才有机会进入运行状态,阻塞的情况分为三种: (一)等待阻塞:运行
Java多线程详解:线程调度与优势
线程调度是多线程环境下管理执行顺序的关键机制。Java中,线程的优先级是一个关键特性,用来决定哪个线程应该先获得CPU的执行时间。线程的优先级范围从1到10,其中1是最低优先级(MIN_PRIORITY),10是最高优先级...
线程调度链表在Linux进程检测中的应用
在当前信息提供的范围内,我们可以推断标题和描述指向的内容应该是关于如何使用C语言在Linux环境下,通过线程调度链表技术来监控进程的代码实现。标签中所包含的“c”,“linux”,“thread”,“调度”,“进程”是...
线程监视
08-24
线程是操作系统调度的基本单元,每个程序都可以包含一个或多个线程,它们并行执行任务,提高了程序的执行效率。理解线程的行为对于优化性能、调试多线程程序以及排查资源争抢问题至关重要。 "ProcessThreadsView" ...
冰刃 IceSword 1.22
04-02
冰刃IceSword 1.22 简介 IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003/Vista操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。 在对软件做讲解之前,首先说明第一注意事项 :此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。 IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。 如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。 如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。 如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标,将就用吧^_^。 您无须为此软件付费,但如果您使用时发现了什么Bug,请mail to me:[email protected] ,十分感谢。 更新说明: 1.20:(1)恢复了插件功能,并提供一个文件注册表的小插件,详见FileReg.chm;(2)对核心部分作了些许改动,界面部分仅文件菜单有一点变化。 1.20(SubVer 111E3):添加对32位版本Vista(NtBuildNumber:6000)的支持。 1.22:(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。
调试窗口输出(输出窗口),通常用来监视线程的时间
陆俊杰-工作笔记
01-10 506
//调试窗口输出(输出窗口),通常用来监视线程的时间System.Diagnostics.Debug.WriteLine("tr2" + DateTime.Now.ToString()) 
线程监控及其日常
weixin_42183336的博客
07-13 250
线程监控 实现线程监控需要继承ThreadPoolExecutor类,并实现以下方法 public class MyThreadPoolLister extends ThreadPoolExecutor { public ForkJoinTest(int corePoolSize, int maximumPoolSize, long keepAliveTime, TimeUnit un...
“暴力”注入Explorer
Mycro的专栏
11-04 1472
“暴力”注入Explorer                     pjf([email protected])    写点无聊的东西,一段时间blog弄得不成样子了。    向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜举,一个木马或后门启动时向Explorer或IE的
监控线程的3种方法
weixin_33763244的博客
12-27 5959
1. JDK命令行工具 - jstack jps -l 查询当前运行线程 barry@Y430P:~/data/projects/test$ jps -l 18339 /usr/share/dbeaver//plugins/org.eclipse.equinox.launcher_1.4.0.v20161219-1356.jar 9046 org.jetbrains.jps.cmdline.L...
暴力”注入Explorer
tikycc2的专栏
08-15 424
http://blog.csdn.net/wuna66320/archive/2006/09/01/1155348.aspx
线程调度
SamingWong的博客
07-27 1005
Java虚拟机会按照特定的机制为程序中每个线程分配CPU的使用权,这种机制被称为线程调度线程调度有两种模型:分时调度模型和抢占式调度模型。 分时调度模型是指让所有的线程轮流获得cpu的使用权,并且平均分配每个线程占用的CPU的时间片。 抢占式调度模型是指优先让可运行池中优先级高的线程占用CPU,如果可运行池中的线程优先级相同,那么就随机选择一个线程,使其占用CPU。线程的优先级0到10整数
Java实时多任务调度过程中的安全监控设计
longyanqian的专栏
12-17 1226
Java实时多任务调度过程中的安全监控设计内容:问题分析设计原理设计实现结束语源代码关于作者相关内容:TCP/IP 介绍TCP/IP 介绍-->Java 专区中还有:
spring scheduled的动态线程调度和任务进度的监控
热门推荐
yyx1025988443的博客
12-02 2万+
spring scheduled的动态线程调度和任务进度的监控这篇文章讲述使用spring自带的轻量级调度系统进行动态任务调度,并基于此自定义实现了任务进度监控的调度。(注:项目中并未依赖QuartZ,基于QuartZ和Spring的动态调度参见: Quartz学习——Spring和Quartz集成详解)一、spring原生调度api的基础应用在Spring中如果我们想要实现一个调度任务,只需要简
线程监视器:提升多线程程序的监控效率
此外,为了确保线程监视器的有效性和准确性,开发此类工具的程序员需要具备深入的系统编程知识,熟悉操作系统内核级别的线程调度机制,以及对线程同步、内存管理、进程间通信等方面有深刻的理解。这样的工具才能为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值