system worker thread---from ddk

最新推荐文章于 2025-03-23 17:11:20 发布
翻译 最新推荐文章于 2025-03-23 17:11:20 发布 · 766 阅读 · 2
标签
#线程 #windows
本文详细介绍了Windows驱动程序中WorkItem的使用方法及其内部机制。WorkItem是一种用于执行延迟处理任务的数据结构,通过系统工作线程池处理,允许驱动程序执行阻塞性操作。文章还对比了WorkItem与WorkItemEx的不同之处,并提供了关键API的使用示例。

需要进行延迟处理的驱动程序可以使用 work item,它包含一个驱动回调例程指针,该例程进行实际的操作。驱动将workitem入队,然后系统的工作线程(worker thread)会将workitem出队并执行驱动的回调例程。系统会维护(maintain)用来处理workitem的系统工作线程池(ExpWorkerThread)。
驱动将一个WorkItem回调例程与workitem相关联。当系统工作线程处理 workitem 对象时,它就会调用相关的回调例程。从Windows Vista 版本开始,驱动可以将WorkItemEx例程与workitem相关联来使用。WorkItemEx例程与WorkItem所传入的参数不一样。
WorkItem 和WorkItemEx 在系统线程的上下文执行。如果驱动的分发例程(dispatch routine)可以在用户模式上下文执行,它就可以调用WorkItem或WorkItemEx进行任何需要在系统线程上下文中才能执行的操作。
DPC(延迟过程调用)如果需要发起要求长时间处理(lengthy processing)或会进行阻塞调用(blocking call)的任务时,应该将处理过程委托给一个或多个workitem 去完成。当DPC在运行时,所以线程都被阻止运行。另外,DPC运行在IRQL=DISPATCH_LEVEL,不允许进行阻塞调用。然而,系统工作线程运行在IRQL=PASSIVE_LEVEL,由它处理wrokitem 。因此,workitem可以包含阻塞调用。例如,系统工作线程可以等待分发对象(dispatcher object)。
因为系统工作线程池是有限的资源,WorkItem和WorkItemEx只能被用来进行短时间的操作。如果WorkItem例程运行或等待太长时间,就会造成系统死锁。所以,如果驱动要求长时间的延迟处理,就应该使用PsCreateSystemThread创建属于自己的系统线程。

(从文档里搜集的,加了一点自己的解释)
PIO_WORKITEM IoAllocateWorkItem(IN PDEVICE_OBJECT DeviceObject);
 在这个函数里主要调用ExAllocatePoolWith***去申请一个IO_WORKITEM结构,并对结构体中的一些成员进行初始化。
 VOID IoInitializeWorkItem(IN PVOID  IoObject,IN PIO_WORKITEM  IoWorkItem)
 {  
     if(IoObject->Type==3||IoObject->Type==4)
     {
        IoWorkItem->WorkItem=0;
        IoWorkItem->Type=1; 
        IoWorkItem->IoObject=IoObject; 
        IoWorkItem->WorkItem->WorkerRoutine=IopProcessWorkItem; 
        IoWorkItem->WorkItem-〉Parameter=IoWorkItem;
        return ;//可以看出IoWorkItem作为参数传给IopProcessWorkItem去执行
     }
     KeBugCheckEx(WORKER_INVALID/*0xE4*/,3,IoWorkItem,IoObject,0);
  } 
  VOID IoQueueWorkItem(IN PIO_WORKITEM  IoWorkItem,
                       IN PIO_WORKITEM_ROUTINE  WorkerRoutine,
                       IN WORK_QUEUE_TYPE  QueueType,IN PVOID  Context); 
   这个函数将IoWorkItem-Type设为0(可能是用来表明这个WorkItem是否如队列),然后调用IoQueueWorkItemEx,它们的参数一样。
   IoQueueWorkItemEx(....) 
   {
      ObReferenceObject(IoWorkItem->IoObject);// 
      IoWorkItem->Comtext-=Context;
      ExQueueWorkItem(IoWorkItem,QueueType);
   }
   WORK_QUEUE_TYPE .QueueType取值为CriticalWorkQueue时,将WorkItem插到会被一个拥有实时(real_time)优先级属性的系统线程处理的队列中;当取值为DelayedWorkQueue时,该WorkItem将会被拥有可变优先级的系统线程处理。
VOID ExQueueWorkItem(IN PWORK_QUEUE_ITEM  WorkItem,IN WORK_QUEUE_TYPE  QueueType); 这个函数在进行一些信息的核对确保无误后,会调用KiInsertQueue完成入队列操作,之后就是等待被出队,执行吧。
shellWorker:shellWorker 模块使用 SystemWorker 来方便 shell 命令的执行
07-16
shellWorker SSJS 模块 shellWorker 模块使用 SystemWorker 来促进 shell 命令的执行。 更多信息 您可以使用安装 shellWorker。 至少需要 Wakanda 10。
Worker-Management-System
03-18
Worker-Management-System
IoAllocateWorkItem函数分析
ma_de_hao_mei_le的博客
08-15 370
代码】IoAllocateWorkItem函数分析。
windows work item 学习
pureman_mega的博客
01-14 1616
系统环境:win7 32 参考:逆向工程实战 3.3.2 work item 文章内容: 1,work item 的使用 2,系统是如何管理work item 的 3,如何遍历系统中所有的 work item 1,work item 的使用 work item 类似于系统线程,只是没有创建实际的对象(但实际上work item 还是在线程的环境下执行,只不过用的是已经存在的线程池里面的线程)。 相关结构体: 系统中使用work item 来干事的地方还不少,大概有10...
添加例程到线程池,也就是自己定义一个函数,放到系统里面,让系统自动执行这个函数
lygl35的博客
01-22 482
如下图,这些都是系统将要执行的函数 我们也来添加一个线程到这里 第一步: 定义一个全局的线程池对象: WORK_QUEUE_ITEM workobj = { 0 };//线程池对象 第二步初始化这个线程池对象,然后把这个线程池对象插入系统工作列表线程 //-----------添加函数到系统线程--------- //初始化线程池对象&workobj ExInitializeWorkItem(&workobj, WorkItemRoutine, NULL); //插入线程池队列
[Windows内核源码分析6] 引导过程(执行体管理器初始化在Phase1部分的分析)
輚至消亡
10-12 915
查看内部具体做了什么, 首先它根据是否是NT系统以及系统的大小来决定要创建的工作线程数量。接下来对这个工作线程队列数组进行初始化, 其中的。查看一下其内部做了什么, 其内部主要做了2件事。看一下这个结构体的内容, 其中最重要的就是。是指代数组中各项的队列类型的数组下标枚举。是3,即这个数组的总数, 其他的。为每个工作线程队列创建工作线程。阶段1的执行体初始化主要调用了。这个字段是一个双向循环队列。初始化工作线程队列数组。看一下这个数组的类型是。
windows内核情景分析 --- DPC 目的信令点编码
sqqsongqiqi的专栏
01-07 1068
关于DPC的 文章 留着备用 原文地址 http://www.doudouxitong.com/guzhang/xitongjiqiao/2014/0404/901.html   DPC不同APC,DPC的全名是‘延迟过程调用’。   DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不
AuxKlibQueryModuleInformation---from ddk 文档
pureman_mega的博客
12-20 473
AuxKlibQueryModuleInformation 例程获取操作系统已经加载的映像模块的信息。 NTSTATUS AuxKlibQueryModuleInformation( IN OUT PULONG BufferSize, IN ULONG ElementSize, OUT PVOID QueryInfo OPTIONAL );参数 B
System Worker Threads
Tech is Online(物联网技术传播)
01-05 2597
System Worker ThreadsA driver that requires delayed processing can use a work item, which contains a pointer to a driver callback routine that performs the actual processing. The driver queues the w
WORK_QUEUE_ITEM 介绍
free2o的专栏
03-16 4993
     window 内核中有很多成熟的设计, WORK_QUEUE_ITEM 就是其中的一个。 这个设计的思想很简单,就是把要处理的任务扔到一个队列中,系统会自动调度处理这些任务。         WORK_QUEUE_ITEM 的结构很简单:     typedef struct _WORK_QUEUE_ITEM {       LIST_ENTRY  List;  //用
Windows驱动 - WorkItem
qq726232111的博客
12-26 1924
0x00 函数 组合1 IoAllocateWorkItem() //分配一个工作项 IoQueueWorkItem() //将WorkItem例程与工作项关联,并将工作项插入队列中,供系统工作线程稍后处理。 -> 工作项、回调函数、队列类型、参数进行关联 IoFreeWorkItem() //释放一个由IoAllocateWorkItem分配的工作项 组合2 IoInitializeWorkItem() //初始化调用方已经分配的工作项。参数2必须从非分页池分配内存 IoQue...
系统线程与系统进程
Misaka10046的博客
08-22 934
读下Windows内核原理与实现 查缺补漏下 偏向理论知识。
用完成端口实现的仿 QueueWorkItem 接口的线程
11-01
用非常少的代码实现的线程池。完全免费,可以随意使用,恕不提供代码。
驱动.工作队列(提交任务由系统调用执行)
qq78933319的博客
11-19 399
如果在工作函数中执行什么耗时任务需要使用事件对象来保证工作函数结束之后再执行卸载驱动否则会蓝屏。2.DriverEntry入口函数调用。
nt!KeWaitForMultipleObjects函数分析之一个例子ExpWorkerThreadBalanceManager
最新发布
linux-0.11调试教程
03-23 668
nt!KeWaitForMultipleObjects函数分析之一个例子ExpWorkerThreadBalanceManager
ISCC2012信息安全对抗竞赛题目分析
tmdsb38的博客
10-31 2611
此文为简单分析绿盟&北理工安全对抗技术竞赛ISCC2012年线上赛,算是个笔记记录整理一下取key的过程。 此文公开时线上赛已结束。题目包含以下关卡: 基础关 各种类型的最简单的题目,最简单的得分点,考察各个方面的基础知识 脚本关 脚本注入、欺骗和跨站 破解关 一个编译好的程序,我怎么知道它是怎么工作的? 溢出关 软件漏洞的分析、利用及发掘技术,探索二进制代码背后的秘密 内核关 考察内
WIN10解决蓝屏SYSTEM_THREAD_EXCEPTION_NOT_HANDLED报错过程记录
热门推荐
jsmilu的博客
06-05 24万+
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED蓝屏解决方法记录        夜里两点多的时候,使用着飞行堡垒8的华硕笔记本,办公。右下角跳出过一个提示框,具体内容不太记得清楚了,大概是"MYASUS已是最新版本"。当时也没注意,划过去了。没多久,电脑突然卡顿了一下,然后就蓝屏了。刚开始以为重启一下,就好了。强制关机重启后,已经蓝屏,多次强制关机,依旧是一到需要输入登录密码的界面,就顿一下然后立即蓝屏。      
枚举劳务线程
weixin_30367873的博客
03-14 199
ExWorkerQueue是全局数组一共三类typedef enum _WORK_QUEUE_TYPE {CriticalWorkQueue,DelayedWorkQueue,HyperCriticalWorkQueue,MaximumWorkQueue} WORK_QUEUE_TYPE;kd> dt _KQUEUE 80565820nt!_KQUEUE+0x000 Hea...
利用IoDriverObjectType控制内核驱动加载
weixin_60043341的博客
08-17 599
在edr或者其他类型的安全软件我们通常要监测当前系统的内核驱动的加载通常使用的方法是PsSetLoadImageNotifyRoutine设置模块加载回调例程来监控ring3模块以及ring0模块的加载,回调函数 eLoadImageNotifyRoutine 的第二个参数判断,如果 PID是0 ,则表示加载驱动,如果PID非零,则表示加载DLL。缺点当然也就是函数太底层,第二就是方法太通用几乎做过进程、线程监控的搞安全内核开发的人基本都晓得,也很容易被发现而且也会被摘链,而失效。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值