上一篇我们介绍了进程结构体,这节我们介绍下线程结构体:ETHREAD。还是去windbg里面去看一下这个结构体的长相:
依旧是一大堆成员,我们只关注一些比较重要的结构体成员。在进程结构体中的第一个成员是一个子结构体Pcb,在线程结构体中,第一个成员依然是一个子结构体叫Tcb.我们还是跟进去看一下这个子结构体有哪些重要的成员:
第一个成员依然是Header。上一节讲进程结构体的时候,我没有介绍这个成员。其实这个成员是一个可等待对象。只要后面标注是一个 _DISPATCHER_HEADER,那他就是一个可等待对象。(这个我也不是很会)有兴趣可以查下资料。
+0x018 InitialStack : Ptr32 Void
+0x01c StackLimit : Ptr32 Void
+0x028 KernelStack : Ptr32 Void
这三个成员是和堆栈切换相关的。也就是线程切换。我们知道在线程切换的时候,一定是伴随着堆栈切换的。
+0x020 Teb : Ptr32 Void
用于描述线程的线程环境块,存在于用户态。类似于PEB。如果进不了0环如何知道TEB在哪呢。在用户态下FS:[0]->TEB,内核态时FS执行KPCR。
+0x034 ApcState : _KAPC_STATE
+0x0e8 ApcQueueLock : Uint4B
+0x138 ApcStatePointer : [2] Ptr32 _KAPC_STATE
+0x14c SavedApcState : _KAPC_STATE
这四个成员都和APC有关,异步过程调用。
+0x02d State : UChar
这个成员描述当前线程的状态,是就绪态,还是运行态,还是阻塞态。
+0x0e0 ServiceTable : Ptr32 Void
指向系统服务表的基地址。
+0x134 TrapFrame : Ptr32 _KTRAP_FRAME
进入0环的时候保存环境。进入前的寄存器等值会存储在这个结构体里。
+0x1b0 ThreadListEntry : _LIST_ENTRY
这也是一个双向链表。一个进程的所有线程,都用这个链表串起来了。
上述都是Tcb里面的重要成员,我们再看看ETHREAD里面的重要成员还有哪些:
+0x1ec Cid : _CLIENT_ID
线程的编号,类似PID。
+0x220 ThreadsProcess : Ptr32 _EPROCESS
指向当前线程所属的进程。
+0x22c ThreadListEntry : _LIST_ENTRY
这依然是一个双向链表,和上面存在于_KTHREAD的ThreadListEntry是一样的值。只是为了方便遍历。
以上就是比较重要的成员了。
