-进程的内核对象句柄表

最新推荐文章于 2024-04-21 20:42:34 发布
最新推荐文章于 2024-04-21 20:42:34 发布
阅读量333 收藏
点赞数
分类专栏: c++ 文章标签: 数据结构

当一个进程被初始化时,系统要为它分配一个句柄表。该句柄表只用于内核对象,不用于用户对象或GDI对象。

它只是个数据结构的数组。每个结构都包含一个指向内核对象的指针一个访问屏蔽一些标志

 

进程的句柄结构

索引

内核对象内存块的指针

访问屏蔽(标志位的DWORD)

标志(标志位的DWORD )

1

0 x ? ? ? ? ? ? ? ?

0 x ? ? ? ? ? ? ? ?

0 x ? ? ? ? ? ? ? ?

2

0 x ? ? ? ? ? ? ? ?

0 x ? ? ? ? ? ? ? ?

0 x ? ? ? ? ? ? ? ?

...

...

...

...

创建内核对象

当进程初次被初始化时,它的句柄表是空的。然后,当进程中的线程调用创建内核对象的函数时,内核就为该对象分配一个内存块,并对它初始化。这时,内核对进程的句柄表进行扫描,找出一个空项。该指针成员将被设置为内核对象的数据结构的内存地址,访问屏蔽设置为全部访问权,同时,各个标志也作了 设置。

句柄值实际上是放入进程的句柄表中的索引,它用于标识内核对象的信息存放的位置。

关闭内核对象

无论怎样创建内核对象,都要向系统指明将通过调用CloseHandle来结束对该对象的操作:

BOOL CloseHandle(HANDLE hobj);

该函数首先检查调用进程的句柄表,以确保传递给它的索引(句柄)用于标识一个进程实际上无权访问的对象。如果该索引是有效的,那么系统就可以获得内核对象的数据结构的地址,并可确定该结构中的使用计数的数据成员。如果使用计数是0 ,该内核便从内存中撤消该内核对象。

在CloseHandle返回之前,它会清除进程的句柄表中的项目,该句柄现在对你的进程已经无效,不应该试图使用它。无论内核对象是否已经撤消,都会发生清除操作。当调用CloseHandle 函数之后,将不再拥有对内核对象的访问权,不过,如果该对象的使用计数没有递减为 0 ,那么该对象尚未被撤消。这没有问题,它只是意味着一个或多个其他进程正在使用该对象。当其他进程停止使用该对象时(通过调用CloseHandle),该对象将被撤消。

 

对于内核对象来说,系统将执行下列操作:当进程终止运行时,系统会自动扫描进程的句柄表。如果该表拥有任何无效项目(即在终止进程运行前没有关闭的对象),系统将关闭这些对象句柄。如果这些对象中的任何对象的使用计数降为0 ,那么内核便撤消该对象。

javaweb_research
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《Windows核心编程系列》谈谈内核对象句柄的本质
01-09
本章讨论的是相对抽象的概念,不涉及任何具体的内核...调用创建内核对象的函数后,该函数会返回一个句柄,它标识了所创建的对象。它可以由进程的任何线程使用。在32位系统中,句柄是一个32位值。64位系统中则是64位值。
易语言取窗口进程线程句柄
07-23
易语言取窗口进程线程句柄等源码,取窗口进程线程句柄等,根据进程名取窗口句柄,根据窗口句柄进程名,取进程线程标识符_,打开进程_,寻找顶级窗口_,关闭内核对象_,创建系统进程快照,取快照中第一个进程信息,取快照中下...
Windows 10 X64 内核对象句柄解析
vs2008ASPNET的专栏
05-24 1160
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄一个内核对象的内存地址,每个进程都有一个句柄,它保存着进程拥有的句柄内核也有一个句柄 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄地址,低两位为0 示是1级。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
内核-句柄
weixin_45012273的博客
03-06 982
私有句柄 属于一个程序独有的 每个程序都有属于自己程序的句柄 里面存储了所有本程序打开的内核对象 内核对象 进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象 为什么需要句柄??? 句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄 每个进程都有自己的这样的私有的 这个存储在0环 而你的进程里创建几个句柄 中就用几项 而句柄则.
Windows进程内核对象句柄
qq_25454169的博客
01-12 349
一个进程在初始化时,系统将为它分配一个句柄。这个句柄仅供内核对象使用,不适用于用户对象或GDI对象。 创建 一个进程首次初始化的时候,其句柄为空。当进程内的一个线程调用一个会创建内核对象的函数时,内核将为这个对象分配并初始化一个内存块。然后,内核扫描进程句柄,查找一个空白的记录项,并对其进行初始化。具体就是指针成员会被设置成内核对象数据结构的内部内存地址,访问掩码会
Windows进程内核对象句柄
ai74583的博客
02-04 351
当一个进程被初始化时,系统要为它分配一个句柄。该句柄只用于内核对象 ,不用于用户对象或GDI对象。 创建内核对象进程初次被初始化时,它的句柄是空的。然后,当进程中的线程调用创建内核对象的函数时,比如CreateFileMapping,内核就为该对象分配一个内存块,并对它初始化。这时,内核进程句柄进行扫描,找出一个空项。由于 3 - 1中的句柄是空的,内核便找到索引1...
windows核心编程--内核对象句柄泄漏
山水人间。
09-28 567
总的来说,不关闭内核对象句柄、会占用系统资源,运行变缓。 1. 什么是内核对象?        内核对象是操作系统分配的一个内存块,该内存块是一个数据结构,用于管理对象的各种信息。 当应用程序要与系统设备进行交互的时候,将使用到内核对象,出于安全的考虑,进程是不能直接访问内核对象的,操作系统提供了对应的函数来对它们进行访问。 存取符号对象、事件对象、文件对象
易语言源码枚举句柄关闭进程DLL模块源码.rar
07-13
易语言源码枚举句柄关闭进程DLL模块源码.rar
ToolsSet工具集合, 句柄, 内核, 进程, 窗体
06-30
windows的一些工具功能包括: 系统服务,启动项,内核对象,句柄信息,进程信息, 自定义APIHook,窗体, NTFS磁盘分析等...
寒江独钓-Windows内核安全编程(高清完整版).part6
01-04
1.3.5 设置Windows内核符号 13 1.3.6 实战调试first 14 练习题 16 第2章 内核编程环境及其特殊性 17 2.1 内核编程的环境 18 2.1.1 隔离的应用程序 18 2.1.2 共享的内核空间 19 2.1.3 无处不在的内核模块 20 2.2 ...
数据结构(邓俊辉)学习笔记】绪论04——算法分析
weixin_44399845的博客
04-21 673
通过以基本计算模型作为参照,并且以大O记号的形式在上面添加适当刻度,已经建立一套对DSA进行分析的完整工具和体系。不清楚的可以看看和接下来学习下如何运用工具对DSA进行性能分析,包括其中主要思路和方法。与这套体系建立的思路类似,我们在具体运用这套体系的时候,依然要坚持去粗存精,最终的学习目标是能够达到自如驾驭和运用这套工具来完成去粗存精式的估算。
数据结构:堆
includemainprinf的博客
04-19 986
这张网络上的图片很形象的展示了一棵具有多个分支的独特树木,其分支模式类似于(甚至于是完美)二叉树的结构。我们可以将这棵树的形态作为引入二叉树概念的一个隐喻。在二叉树中,每个节点最多有两个子节点,这与树木的分支方式相似,其中每个分支都可以进一步分为两个更小的分支。二叉树是计算机科学中常用的数据结构,它的每个节点最多有两个子节点,通常被称为左子节点和右子节点。二叉树的这种结构使得它在执行搜索和排序操作时非常高效,也广泛应用于各种算法中,如二叉搜索树、堆和平衡二叉树等。
数据结构-动态规划策略
qq_48664605的博客
04-19 623
2.算法实现过程(状态与状态转移方程)5.动态规划的时间复杂度分析。4.动态规划的适用条件。1.理解动态规划思想。3.动态规划实现方式。6.典型动态规划问题。
Redis高级数据结构HyperLogLog
蓝天it(让亿万孩子在蓝天下共享优质教育)
04-19 630
HyperLogLog(Hyper[ˈhaɪpə®])并不是一种新的数据结构(实际类型为字符串类型),而是一种基数算法,通过HyperLogLog可以利用极小的内存空间完成独立总数的统计,数据集可以是IP、Email、ID等。如果统计 PV 那非常好办,给每个网页一个独立的 Redis 计数器就可以了,这个计数器的 key 后缀加上当天的日期。这样来一个请求,incrby 一次,最终就可以统计出所有的 PV 数据。。通过 scard 可以取出这个集合的大小,这个数字就是这个页面的 UV 数据。
单链逆置(头插法,递归,数据结构栈的应用)
mrjieke6的博客
04-19 552
逆置就是把最后一个数据提到最前面,倒数第二个放到第二个……依次类推,直到第一个到最后一个。由于链没有下标,所以不能借助下标来实行数据的逆置,要靠空间的转移来完成链的逆置,这里采用没有头节点的链来实现逆置。
数据结构- 顺序-单链-双链 --【求个关注!】
2301_77993957的博客
04-19 312
我在代码中的注释所写的首节点是可以携带有效数据的,为了避免与头节点混淆,所以我用首节点作为名称,而不是头节点!对于顺序的结构及各种操作函数的声明。最常见的有两种:单链与双向链
数据结构-KMP算法
最新发布
qq_48664605的博客
04-21 640
在进行字符串匹配的过程中,当模式串与主串在某个位置发生失配时,KMP算法意识到已有的部分匹配并没有被完全浪费。这是因为,从模式串的起始位置到失配点,有一段子串已经在主串中成功匹配。对于ABABC这个子串,前缀集合{A,AB,ABA,ABAB},后缀集合{C,BC,ABC,BABC}对于ABAB这个子串,前缀集合{A,AB,ABA}后缀集合{B,AB,BAB}对于ABA这个子串,前缀集合{A,AB}后缀集合{A,BA}对AB这个子串,前缀集合{A},后缀集合{B}对A这个子串,前缀集合,后缀集合都为空。
数据结构和算法:贪心
学习记录
04-19 732
学习记录
Redis入门到通关之数据结构解析-RedisObject
莫等闲 白了少年头 空悲切
04-20 847
RedisObject 是 Redis 中示数据对象的结构体,它是 Redis 数据库中的基本数据类型的抽象。在 Redis 中,所有的数据都被存储为 RedisObject 类型的对象。// 数据类型,如字符串、列、哈希等// 编码方式,如 int、raw、hashtable 等// Least Recently Used,用于记录对象最近被访问的时间// 引用计数,用于自动内存管理void *ptr;// 指向实际存储数据的指针} robj;type。
windows内核对象
08-31
Windows内核对象可以通过使用Process Explorer来查看其创建情况,并且可以使用对象句柄继承来实现进程边界共享内核对象。此外,lsobj工具可以使用NtQueryDirectoryObject()函数来列出Windows内核对象名称空间中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值