目录

前言

KiFindReadyThread

参数分析

函数实现

KiSelectReadyThread

前言

在分析KiFindReadyThread函数前,需要了解KTHREAD, KPCR中部分成员.

• 正在运行的线程存储在FS:[0x124]->KPCR.KPRCB.CURRENTTHREAD.
• 就绪状态和等待状态的线程全在另外33个链表中.一个等待链表,32个调度链表.这些链表都使用了_KTHREAD->WaitListEntry这个位置,也就是说线程在某一时刻,只能属于其中一个圈.
• 等待链表(等待状态的线程)_KPRCB->WaitListHead(_LIST_ENTRY).线程调用了Sleep()或者 WaitForSingleObject()等函数时,就挂到这个链表.
• 调度链表(准备运行的线程)_KPRCB->DisPatcherReadyListHead([32] _LIST_ENTRY)是个数组存储了32个链表头(线程优先级0-31).
• 调度链表有32个圈,就是优先级:0 - 31. 0最低优先级 31最高优先级. 默认优先级一般是8(KPROCESS->BasePriority)改变优先级就是从一个圈里面卸下来挂到另外一个圈上.这32个圈是正在调度中的线程: 包括正在运行的和准备运行的.比如: 只有一个CPU但有10个线程在运行,那么某一时刻,正在运行的线程在KPCR中,其他9个在这32个圈中.
• _KPRCB->ReadySummary(Uint4B)就绪位图(当前核)每个二进制位表示一个线程优先级(0-31).

KiSearchForNewThread(查找就绪线程函数)中会先判断_KPRCB中NextThread(下个执行线程)是否有值,如果不存在下一个线程就会调用两个API来查找就绪线程KiFindReadyThread(通过就绪位图循环遍历到合适就绪线程),KiSelectReadyThread(通过指定优先级来查找).

KiFindReadyThread

逆向分析函数KiFindReadyThread查看Windows如何查找线程.

参数分析

IDA定位KiFindReadyThread函数

通过交叉引用分析函数参数(选择函数按X)

IDA解析参数为12字节,x86下每个参数占4字节,所以函数有3个参数.但是CALL前只有两个PUSH值

进入KiFindReadyThread函数内部查看参数,函数内部直接使用EAX传值给ESI并直接使用ESI,说明EAX也是一个参数

此时只需要分析CALL前 ESI, EDI, EAX, 值分别是什么?

ESI来自于调用函数KiSearchForNewThread的EAX

通过交叉引用查找调用函数,EAX来自于调用函数KiSwapThread中ESI

ESI又来自于上个函数的EDX,继续往上追

KiInSwapSingleProcess中定位到参数ESI来源FS:[20] _KPRCB

继续通过上述方法查找参数EDI来源

EDI来源于_kiProcessorBlock[EAX * 4](_kiProcessorBlock每个核对应的_KPRCB)

ESI为当前核_KPRCB, EDI为数组中取到的_KPRCB.

EAX为[EDI + 31ECh],EDI来源是_KPRCB,本机测试环境[EDI + 31ECh]为_KPRCB → ReadySummary就绪位图

至此参数分析完毕,进入函数功能分析.

函数实现

KiSelectReadyThread