标签：CONTEXT Windows 线程 Context 寄存器 DWORD 上下文 hThread

Windows线程的上下文结构体，struct _CONTEXT结构是与CPU有关的，特定的CPU对应着特定的CONTEXT结构。

线程上下文结构体

x86类型CPU对应的CONTEXT结构文档如下：

typedef struct _CONTEXT {
    DWORD ContextFlags; //在查询的时候需要设置该字段，表示查询哪些其他的CONTEXT结构字段。

    //调试寄存器组
    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;

    FLOATING_SAVE_AREA FloatSave; //浮点寄存器

    //段寄存器组
    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;

    //通用数据寄存器（整型寄存器）组
    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;

    //控制寄存器组——比如CS、BP、SP之类的保存基址指针和堆栈指针、程序计数器
    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;              // MUST BE SANITIZED
    DWORD   EFlags;             // MUST BE SANITIZED
    DWORD   Esp;
    DWORD   SegSs;

    BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; //扩展寄存器组
} CONTEXT;

获取和设置线程上下文结构体

获取CONTEXT，必须先挂起线程（使用API：SuspendThread），否则取到的CONTEXT无意义。然后通过API：GetThreadContext获取线程CONTEXT。

代码片段：
CONTEXT Context;
SuspendThread(hThread);//挂起线程
Context.ContextFlags = CONTEXT_CONTROL;
GetThreadContext(hThread, &Context);//获取线程Context
Context.Eip = 0x00010000;//修改EIP，也就是修改了当前执行的代码，后续线程激活后，会在这个地址继续执行（这个地址是为了演示随意填写的，由于这个地址问题，程序可能会崩溃）  
Context.ContextFlags = CONTEXT_CONTROL;     
SetThreadContext(hThread, &Context);//设置线程Context    
ResumeThread(hThread);//恢复线程运行，此时程序从0x00010000地址处开始运行，程序会异常

线程本质解析

• 通过这里我们就知道，线程的本质也是一个结构体，只是在高2g的内存中（内核空间中），我们无法直接访问，但是可以通过系统调用访问。

• 那么线程调度，本质就是修改线程CONTEXT的EIP，也就是eip,当20毫秒的时间片用完时，切换到其它线程

标签：CONTEXT,Windows,线程,Context,寄存器,DWORD,上下文,hThread
来源： https://blog.51cto.com/14207158/2570603

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。