线程的Alertable与User APC

在使用插User APC注入DLL时，经常面临一个问题，那就是线程必须是处于Alertable模式才能注入成功。但一直对这个Alertable的含义不甚清楚，今天总算是把这个梗消化了。

微软对Alertable与APC的执行关系有详细的描述：

https://msdn.microsoft.com/en-us/library/ms810047.aspx

其中有一段是这样说的：

也就是说，正常情况下，用户模式的APC是不会打断用户态程序的执行流的。除非，线程是Alertable——可唤醒的。

So, what is Alertable?

想象一个应用场景:

客户端程序每隔5分钟就和服务端进行一次通信，实现“心跳”，最简单的就是使用Sleep(5*60*1000)。那么这样一来，这5分钟内，线程就沉睡了，如果这个时候有比较紧急的网络IO事件发生怎么办呢？线程还在沉睡中，因为5分钟时间还未到，所以无法及时处理这些事件。如何解决这个问题呢？那就是使用SleepEx替换Sleep。这个函数比起Sleep就多了一个参数Alertable，表示该线程是“可唤醒的”，就是说，线程虽然等待时间未到，但如果发生一些事件，线程也会及时去处理。这些事件就是：IO完成例程需要执行或者线程有APC需要交付。

内核中线程数据结构KTHREAD中的Alertable成员就是表示该线程是不是可唤醒的。这个成员会在什么时候被赋值呢？参见WRK有三个宏会设置该值：

InitializeDelayExecution()

InitializeWaitSingle()

InitializeWaitMultiple()

这三个宏分别被

SleepEx()---->KeDelayExecutionThread()

WaitForSingleObject()---->KeWaitForSingleObject()

WaitForMultipleObjects()---->KeWaitForMultipleObjects()

调用。

当上述调用发生时，线程Alertable被置为TRUE。同时，还会通过宏TestForAlertPending设置KTHREAD的另外一个成员：UserApcPending，当Alertable为TRUE，并且User APC队列不为空，那么该值将被置为TRUE。

当从内核模式返回时，DISPATCH_USER_APC在交付用户模式APC前会判断这个标志，如果为FALSE，则不会交付User APC。

这也就是为什么当线程为Alertale的时候，插入的User APC才会得到执行。

还有一个问题：在进程启动时使用驱动进行APC注入DLL的时候，并没有去考虑这个UserApcPending标记，那为什么APC就一定能得到执行呢？

这是因为，在XP中，进程初始化重要工作LdrInitializeThunk本身就是使用APC进行执行的，所以在PspUserThreadStartup中对UserApcPending设置为了TRUE，这样保证了初始的时候User APC能成功交付。

即使在Win7中，LdrInitializeThunk不再使用APC进行派遣，LdrInitializeThunk在执行完成后会使用NtTestAlert，同样会设置UserApcPending为TRUE。从而在返回用户模式时，User APC同样能交付。

但每次交付用户模式的时候，UserApcPending会被重置，所以线程启动之后就不再能保证插APC能得到执行了。除非使用前面说到的那些Alertable为TRUE的等待函数，再次设置了UserApcPending。