Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
线程被动切换(时间碎片) - KiReadyThread函数详细分析
每个线程都存在自己的时间碎片(_KTHREAD+0x6f QuanTum),当时间到了之后,其会让其他线程运行,现在我们就来详细分析一下其有关细节。
时间片更新函数:
HalpHpetClockInterrupt->KeUpdateSystemTime->KeUpdateRunTime
时间片检查函数:
HalEndSystemInterrupt->KiDispatchInterrupt
时间更新是利用CPU的DPC机制,所谓DPC就是类似于看门狗,CPU运行一定时间就会调用DPC运行某个DPC函数,之后我们再来详细分析DPC这块的内容。
1)_KiDispatchInterrupt 函数分析
时钟中断最后会调用 _KiDispatchInterrupt 这个函数,该函数思路比较清晰,判断时间碎片等有关函数。
其中关键的说Windows是采用抢占模式的其实就看一行代码:
“②”中如果其不存在下一个线程 KPCR.NextThread,其并不会去主动去找,而是继续运行原来线程,所以是主动抢占式的;其不存在一个队列,每个线程有序运行。
操作系统就看一个KPCR.NextThread,如果该值为空就继续运行原来的线程。
2)_KiReadyThread 函数分析
该函数是对于原来老的线程的处理,通过分析它你可以清楚地理解线程切换更详细的过程,但同时其也做了很多额外工作,比如线程的进程不在内存中,其会映射进内存。
我们应该分析其主干,对于涉及的额外的工作,我们并不要花过多精力去分析,这一点我们首先是要明确的。
(1)其先找到合适的CPU,在我们单核情况下其就存在单独一个CPU;
(2)判断CPU的 KPRCB.NextThread是否为空:
当为空时:
① 判断当前线程优先级和老的线程优先级的大小;
② 如果老的线程优先级比较大,则直接放入KPCR.NextThread中;否则放入线程的等待队列中 - KThread.WaitListEntry中;
③ 其中老线程是被抢占的(preemted),则放入 KThread.WaitListEntry头部,作为补偿,否则放入尾部。
当不为空时:
① 比较NextThread和老线程的优先级大小;
② 如果老的线程比较大,则放入KPCR.NextThread,而原来的老线程会设置有关标志位再去找自己合适的位置。
③ 否则放入线程的等待队列中 - KThread.WaitListEntry中,其中老线程是被抢占的(preemted),则放入 KThread.WaitListEntry头部,作为补偿,否则放入尾部。
注释:在分析中会涉及到大量的进程与线程状态转换,我们从WRK中找到下列的有关定义,结合这个能帮助我们的理解。
3)_KiReadyThread 函数分析逆向细节
这函数分支比较庞大,我们在这里就按照上面所说的,简要的画出其步骤流程图,很多地方已经加了注释,比较好理解的。
