當前位置：首頁 > 运维知识 > windows >内容正文

windows

Windows进程与线程学习笔记（二）—— 线程结构体

發布時間：2025/3/21 windows 20 豆豆

生活随笔收集整理的這篇文章主要介紹了 Windows进程与线程学习笔记（二）—— 线程结构体小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

Windows進程與線程學習筆記（二）—— 線程結構體

- 線程結構體
- - ETHREAD
  - - +0x000 Tcb : _KTHREAD
- 練習

線程結構體

ETHREAD

描述：

每個windows線程在0環都有一個對應的結構體：ETHREAD

這個結構體包含了線程所有重要的信息

在WinDbg中查看：

kd>dt _ETHREAD

ntdll!_ETHREAD+0x000 Tcb : _KTHREAD+0x1c0 CreateTime : _LARGE_INTEGER+0x1c0 NestedFaultCount : Pos 0, 2 Bits+0x1c0 ApcNeeded : Pos 2, 1 Bit+0x1c8 ExitTime : _LARGE_INTEGER+0x1c8 LpcReplyChain : _LIST_ENTRY+0x1c8 KeyedWaitChain : _LIST_ENTRY+0x1d0 ExitStatus : Int4B+0x1d0 OfsChain : Ptr32 Void+0x1d4 PostBlockList : _LIST_ENTRY+0x1dc TerminationPort : Ptr32 _TERMINATION_PORT+0x1dc ReaperLink : Ptr32 _ETHREAD+0x1dc KeyedWaitValue : Ptr32 Void+0x1e0 ActiveTimerListLock : Uint4B+0x1e4 ActiveTimerListHead : _LIST_ENTRY+0x1ec Cid : _CLIENT_ID+0x1f4 LpcReplySemaphore : _KSEMAPHORE+0x1f4 KeyedWaitSemaphore : _KSEMAPHORE+0x208 LpcReplyMessage : Ptr32 Void+0x208 LpcWaitingOnPort : Ptr32 Void+0x20c ImpersonationInfo : Ptr32 _PS_IMPERSONATION_INFORMATION+0x210 IrpList : _LIST_ENTRY+0x218 TopLevelIrp : Uint4B+0x21c DeviceToVerify : Ptr32 _DEVICE_OBJECT+0x220 ThreadsProcess : Ptr32 _EPROCESS+0x224 StartAddress : Ptr32 Void+0x228 Win32StartAddress : Ptr32 Void+0x228 LpcReceivedMessageId : Uint4B+0x22c ThreadListEntry : _LIST_ENTRY+0x234 RundownProtect : _EX_RUNDOWN_REF+0x238 ThreadLock : _EX_PUSH_LOCK+0x23c LpcReplyMessageId : Uint4B+0x240 ReadClusterSize : Uint4B+0x244 GrantedAccess : Uint4B+0x248 CrossThreadFlags : Uint4B+0x248 Terminated : Pos 0, 1 Bit+0x248 DeadThread : Pos 1, 1 Bit+0x248 HideFromDebugger : Pos 2, 1 Bit+0x248 ActiveImpersonationInfo : Pos 3, 1 Bit+0x248 SystemThread : Pos 4, 1 Bit+0x248 HardErrorsAreDisabled : Pos 5, 1 Bit+0x248 BreakOnTermination : Pos 6, 1 Bit+0x248 SkipCreationMsg : Pos 7, 1 Bit+0x248 SkipTerminationMsg : Pos 8, 1 Bit+0x24c SameThreadPassiveFlags : Uint4B+0x24c ActiveExWorker : Pos 0, 1 Bit+0x24c ExWorkerCanWaitUser : Pos 1, 1 Bit+0x24c MemoryMaker : Pos 2, 1 Bit+0x250 SameThreadApcFlags : Uint4B+0x250 LpcReceivedMsgIdValid : Pos 0, 1 Bit+0x250 LpcExitThreadCalled : Pos 1, 1 Bit+0x250 AddressSpaceOwner : Pos 2, 1 Bit+0x254 ForwardClusterOnly : UChar+0x255 DisablePageFaultClustering : UChar

Cid：_CLIENT_ID結構體

第一個成員為所屬進程ID

第二個成員為當前線程ID

ThreadProcess：指向自己所屬進程

ThreadListEntry：雙向鏈表，包含一個進程的所有線程，一共有兩個這樣的鏈表

+0x000 Tcb : _KTHREAD

描述：EHREAD結構體的成員之一

在WinDbg中查看：

kd>dt _KTHREAD

ntdll!_KTHREAD+0x000 Header : _DISPATCHER_HEADER+0x010 MutantListHead : _LIST_ENTRY+0x018 InitialStack : Ptr32 Void+0x01c StackLimit : Ptr32 Void+0x020 Teb : Ptr32 Void+0x024 TlsArray : Ptr32 Void+0x028 KernelStack : Ptr32 Void+0x02c DebugActive : UChar+0x02d State : UChar+0x02e Alerted : [2] UChar+0x030 Iopl : UChar+0x031 NpxState : UChar+0x032 Saturation : Char+0x033 Priority : Char+0x034 ApcState : _KAPC_STATE+0x04c ContextSwitches : Uint4B+0x050 IdleSwapBlock : UChar+0x051 Spare0 : [3] UChar+0x054 WaitStatus : Int4B+0x058 WaitIrql : UChar+0x059 WaitMode : Char+0x05a WaitNext : UChar+0x05b WaitReason : UChar+0x05c WaitBlockList : Ptr32 _KWAIT_BLOCK+0x060 WaitListEntry : _LIST_ENTRY+0x060 SwapListEntry : _SINGLE_LIST_ENTRY+0x068 WaitTime : Uint4B+0x06c BasePriority : Char+0x06d DecrementCount : UChar+0x06e PriorityDecrement : Char+0x06f Quantum : Char+0x070 WaitBlock : [4] _KWAIT_BLOCK+0x0d0 LegoData : Ptr32 Void+0x0d4 KernelApcDisable : Uint4B+0x0d8 UserAffinity : Uint4B+0x0dc SystemAffinityActive : UChar+0x0dd PowerState : UChar+0x0de NpxIrql : UChar+0x0df InitialNode : UChar+0x0e0 ServiceTable : Ptr32 Void+0x0e4 Queue : Ptr32 _KQUEUE+0x0e8 ApcQueueLock : Uint4B+0x0f0 Timer : _KTIMER+0x118 QueueListEntry : _LIST_ENTRY+0x120 SoftAffinity : Uint4B+0x124 Affinity : Uint4B+0x128 Preempted : UChar+0x129 ProcessReadyQueue : UChar+0x12a KernelStackResident : UChar+0x12b NextProcessor : UChar+0x12c CallbackStack : Ptr32 Void+0x130 Win32Thread : Ptr32 Void+0x134 TrapFrame : Ptr32 _KTRAP_FRAME+0x138 ApcStatePointer : [2] Ptr32 _KAPC_STATE+0x140 PreviousMode : Char+0x141 EnableStackSwap : UChar+0x142 LargeStack : UChar+0x143 ResourceIndex : UChar+0x144 KernelTime : Uint4B+0x148 UserTime : Uint4B+0x14c SavedApcState : _KAPC_STATE+0x164 Alertable : UChar+0x165 ApcStateIndex : UChar+0x166 ApcQueueable : UChar+0x167 AutoAlignment : UChar+0x168 StackBase : Ptr32 Void+0x16c SuspendApc : _KAPC+0x19c SuspendSemaphore : _KSEMAPHORE+0x1b0 ThreadListEntry : _LIST_ENTRY+0x1b8 FreezeCount : Char+0x1b9 SuspendCount : Char+0x1ba IdealProcessor : UChar+0x1bb DisableBoost : UChar

Header：

可等待對象，可以作為 WaitForSingleObject 等類似函數的參數

常用于Mutex互斥體，Event事件等

InitialStack/StackLimit/KernelStack：

線程切換相關

每個線程在0環都有屬于自己的堆棧

TSS中存儲的值永遠都是當前線程的

Teb：

全稱：Thread Environment Block（線程環境塊）

3環中線程的信息，大小為4KB

3環時：FS:[0] -> TEB

0環時：FS:[0] -> KPCR

DebugActive：如果為-1，不能使用調試寄存器 Dr0 ~ Dr7

ApcState/ApcQueueLock/ApcStatePointer/SavedApcState：APC相關，后續學習

State：線程狀態（就緒/等待/運行）

BasePriority：

其初始值是所屬進程的BasePriority值（KPROCESS->BasePriority）

可以通過KeSetBasePriorityThread函數重新設定

WaitBlock：等待哪個對象（WaitForSingleObject）

ServiceTable：指向系統服務表基址

TrapFrame：進0環時保存環境

PreviousMode：某些內核函數會判斷程序是在3環還是0環調用的

ThreadListEntry：雙向鏈表，包含一個進程的所有線程，一共有兩個這樣的鏈表

練習

要求：斷開進程的某個線程
思考：

在調試器中（如OD）還能不能找到被斷開的線程

進程運行過程中會不會出現異常

答案：略（待補充）

總結

以上是生活随笔為你收集整理的Windows进程与线程学习笔记（二）—— 线程结构体的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Windows进程与线程学习笔记（一）—
下一篇： Windows进程与线程学习笔记（三）—