Странности работы PsGetContexThread в ядре

Здравствуйте. Исследовал я как то на днях одну тему, с контекстами. И заметил некоторую странность.
Начну с кода:

Код (Text):

1.     CONTEXT ctx;
2.  
3.     RtlZeroMemory(&ctx,sizeof(ctx));
4.     ctx.ContextFlags = CONTEXT_ALL;
5.  
6.     ntStatus = PsGetContextThread(PsGetCurrentThread(), &ctx, KernelMode);
7.     DbgPrint("PsGetContextThread st = %x\n",ntStatus);

Вызываем данную функцию в ядре, например в DriverEntry.
Получаем немного странное поведение - на WinXP все ок - возвращается STATUS_SUCCESS. В Windows Vista и Windows 7 - возвращает STATUS_UNSUCCESSFUL.
Исследование показало место, где идет возврат данного статуса. Эта функция PspGetSetContextSpecialApc. Место передачи статуса:

Код (Text):

1. pkTrapFrame = pThread->Tcb.TrapFrame;
2. if ( !pkTrapFrame || pkTrapFrame->EFlags & EFLAGS_V86_MASK || pkTrapFrame->SegCs & 1 )
3. {
4.      pkApc[1].SpareLong0 = 0xC0000001u;
5.      goto LABEL_15;
6. }

Если допустить, что у потока нет KTRAP_FRAME , то возможно ясно такое поведение, но смотрим дальше.
Eсли открыть чужой поток, пусть даже юзермодный, открывая его по ID (при чем даже тот, который уже работает) - функция PspSetContextThreadInternal в своих недрах идет немного по другой схеме там идет KeInsetQueueApc и потом KeWaitForGate . Адрес процедуры APC совпадает с адресом PspGetSetContextSpecialApc (что и следовало ожидать - раз возвращает тоже самое - 0xC0000001). Но если посудить - в юзермодном потоке точно есть KTRAP_FRAME , тогда в чем проблема?

Ну и послесловие - из юзермода вызвав GetThreadContext - мы все же получим контекст без проблем (пока не трейсил поведение функции из юзермода).

В общем если у кого-нибудь есть какие мысли - велком обсуждать.
Если нужен бинарник драйвера с вышеприведенным кодом - говорите.

 

shchetinin
не забывайте что в XP работает.
И я пробовал для юзермодных потоков устанавливать UserMode. Возвращалось C0000005.

 

shchetinin
Я вам дал код. А вызвать PsLookupThreadByThreadId думаю сами сможете.

 

shchetinin
Вы вообще между строк читаете походу?
Специально для ваc объясняю, что, для ЮЗЕРМОДНЫХ потоков - ETHREAD я беру через PsLookupThreadByThreadId предварительно узнав его ID.
Что вы не поняли? С чего вы взяли что я UserMode ставлю для системного потока???
И кстати ошибка не 5, а 0xC0000005. Читайте внимательнее.

 

shchetinin
Вы побовали? Или просто так написали для вида? Получите вы хендл, в PsGetContextThread все равно передавать ETHREAD. А то что вы зареференсили хендл - ничем не поможет.

Код (Text):

1. ObReferenceObjectByHandle(hTargetThread, THREAD_ALL_ACCESS, *PsThreadType, KernelMode, &pObject, NULL );

В результате, юзая далее предыдущий код, возвратиться тоже самое. Поставив в PsGetContextThread параметр UserMode - вернестя C000005, а поставив KernelMode - вернется C000001.
Вызвав NtGetContextThread, при этом передав тот самый рефнутый хендл - вернется C000001.

Пожалуйста, не пишите если не проверяли и не знаете о чем речь. Экономьте и ваше и мое время.

 

В общем проблему с возвратом C0000005 статуса, из кернела, при получении контекста юзермодного потока, я решил.
Возвращался этот статус потому, что в PsGetContextThread(..UserMode) передается адрес структуры конекста, из диапазона кернела.
А там есть проверка внутри PspGetContextThreadInternal:

Код (Text):

1.     v6 = pCtx;
2.     if ( (unsigned int)pCtx >= (unsigned int)MmUserProbeAddress )
3.       v6 = MmUserProbeAddress;
4.     CtxFlag = *(_DWORD *)v6;  //здесь сработает SEH если условие выполнилось.

Решение достаточно простое.
Аттачимся в процесс, выделяем там память (ZwAllocateVirtualMemory), заполняем поле ContextFlag и передаем адрес памяти в PsGetContextThread. Контекст юзермодного потока из ядра получен.

 

FoxB, это прямо супер некропост . Это было так давно, что не то, что даже не помню, а щас это даже неактуально (как правильно заметил инди).

Конкретно проблема была в получении контекста юзер потока. Делайте как я написал выше, и вы получите контекст. Если будете продолжать передавать флаг KernelMode, то так и будете получать C0000001 . Что вполне логично.

 

Эта ошибка не из за выравнивания. А из за самой идеи - нельзя пытаться у юзер потока взять кернел контекст. Я в первом посте давал вырезку из IDA.
Почему это работало в XP - ну значит там этой проверки не было.

 

Я не говорил, что это невозможно. Я говорил, что не получится если передать PsGetContextThread(pethr, BaseAddress, UserMode))) - вместо UserMode, KernelMode