04进程与线程002结构体.pptx

本节内容线程结构体ETHREAD视频提供：昆山爱达人信息技术有限公司官网地址：联系QQ：1250121864QQ交流群 系电话：内容回顾 上一节我们介绍了进程相关的一个重要的结构体： EPROCESS 这节课我们介绍一下与线程相关的结构体： ETHREAD1、线程结构体ETHREAD 每个windows线程在0环都有一个对应的结构体：ETHREAD 这个结构体包含了线程所有重要的信息。 (在winbbg中查看ETHREAD结构体)2、KTHREAD主要成员介绍1) +0x000 Header : _DISPATCHER_HEADER “可等待”对象，比如Mutex互斥体、Event事件等（WaitForSingleObject）2) +0x018 InitialStack : Ptr32 Void +0x01c StackLimit : Ptr32 Void +0x028 KernelStack : Ptr32 Void 线程切换相关3) +0x020 Teb : Ptr32 Void TEB，Thread Environment Block，线程环境块。 大小4KB,位于用户地址空间。 FS:[0] - TEB(3环时 0环时FS执行KPCR)2、KTHREAD主要成员介绍4) +0x02c DebugActive : UChar 如果值为-1 不能使用调试寄存器：Dr0 - Dr75) +0x034 ApcState : _KAPC_STATE +0x0e8 ApcQueueLock : Uint4B +0x138 ApcStatePointer : [2] Ptr32 _KAPC_STATE +0x14c SavedApcState : _KAPC_STATE APC相关 6) +0x02d State : UChar 线程状态：就绪、等待还是运行3、KTHREAD主要成员介绍7) +0x06c BasePriority : Char 其初始值是所属进程的BasePriority值(KPROCESS-BasePriority)，以后可以通过KeSetBasePriorityThread()函数重新设定8) +0x070 WaitBlock : [4] _KWAIT_BLOCK 等待哪个对象（WaitForSingleObject）9) +0x0e0 ServiceTable : Ptr32 Void 指向系统服务表基址4、KTHREAD主要成员介绍10) +0x134 TrapFrame 进0环时保存环境11) +0x140 PreviousMode : Char 某些内核函数会判断程序是0环调用还是3环调用的12) +0x1b0 ThreadListEntry : _LIST_ENTRY 双向链表 一个进程所有的线程 都挂在一个链表中 挂的就是这个位置 一共有两个这样的链表5、ETHREAD其他成员介绍1) +0x1ec Cid : _CLIENT_ID 进程ID、线程ID2) +0x220 ThreadsProcess : Ptr32 _EPROCESS 指向自己所属进程3) +0x22c ThreadListEntry : _LIST_ENTRY 双向链表 一个进程所有的线程 都挂在一个链表中 挂的就是这个位置 一共有两个这样的链表昆山爱达人信息技术有限公司 QQ:1250121864课后练习：线上班学员可见