Windows 内核对象

最新推荐文章于 2024-01-13 17:50:47 发布
最新推荐文章于 2024-01-13 17:50:47 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: Windows 技术 文章标签: windows object table 数据结构 null attributes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acdnjjjdjkdckjj/article/details/7073896
版权


1.      内核对象(keneralobject )概念:操作系统用来管理文件、进程、线程等的内核数据结构,应用程序不能直接访问,必须通过handle来访问

2.      内核对象固定成员变量:每个内核对象至少有一个引用计数(用来决定是否释放内核对象,与com引用计数类似)和一个安全属性对象(用来决定访问权限等)成员变量。

3.      keneral object 与handle 区别: keneral object 是操作系统级别的,handle 是进程级别的,可以认为handle就是进程用来标识keneral object的,进程对handle的操作都是直接作用于keneral object。

4.      每个进程创建时,windows都会为进程初始话一个handletable,此handle table是windows用来隐藏内核对象实现的重要数据结构进程退出时候清理handle table。注意此handletable仅仅适用于内核对象,用户对象或者gdi对象不使用。handle table的 table项可以认为是这样一个数据结构

struct  hanleTableItem

{

      UINT uIndex; //一般值=hanle /4,此项至关重要,可以认为作用于handle有关的函数都是通过查找hanle table的这个值引用pKeneral指向的内核对象进行相应的操作,应用程序对handle的错误操作可能引起的一系列问题可能就是这项值引起的,下文将讲述

     void* pKeneral; //指向内核对象的指针

     DWORD dwAcsee;  //内核对象访问权限。参见下面网址:

http://msdn2.microsoft.com/en-us/library/ms686670.aspx

     BOOL BInheritance; //handle是否可以继承

}

当进程创建一个keneral object(如文件对象),windows查找创建进程的handle表的uIndex如果存在则返回表项的handle,否则就创建一个新的handle并且填充到handle table中。当进程结束清理handle table,如果keneral object引用计数变为0释放内核对象。

5.       调用CloseHanle并不是销毁内核对象而是减少引用计数。具体来说是windows根据handle 值/4查找handle table对应的uIndexhandle 项从handle table .中移除。引用计数为0时候销毁pKeneral指向的keneral object。

6.      上面提到的对handle的函数调用将导致的问题:如果调用CloseHanle函数后没有把相应的handle置为NULL(确保handle不再使用),后续如果程序创建一个handle刚好uIndex正好等于没有置为null的那个handle的uIndex,新的handle类型刚好跟没有置为null的那个handle的类型一样,这下悲剧了,以后对没有置为null的那个handle的操作正常进行,应用程序正常工作,但是程序状态将破坏,而且无法恢复。所以CloseHanle后handle 应该赋值为null。

7.      忘记调用CloseHanle:进程运行过程中可能会造成内存泄露,结束时候清理handle table,根据keneral object的引用计数(与com的)进行正确清理。这条规则适用于所有用户对象。可以用process explore 来查看内存泄漏。http://msdn.microsoft.com/msdnmag/issues/03/01/GDILeaks本文gdi 对象泄漏情况捕捉对项目资源泄漏可能有帮助。

8.        跨进程共享内核对象方法:

<1>使用句柄继承,主要用在父子进程当中。主要用到CreateEvent等创建内核对象的LPSECURITY_ATTRIBUTES参数和CreateProcess函数的  BOOL bInheritHandles参数。  在父子进程中传递handle值方法:命令行传递、ipc 通信机制、环境变量。

<2>使用命名内核对象:此方法最常用。如常用的mutex、file mapping

   使用命名对象的一个隐藏的坑:如果在我们的程序创建一个命名对象之前,当前系统已经跑起来的其他程序已经创建了一个相同名字的对象(即使不是相同类型的内核对象),可能引发问题。

HANDLE hMutex = CreateMutex(NULL. FALSE,"JeffObj");

HANDLE hSem = CreateSemaphore(NULL, 1, 1,"JeffObj"); // hSem为null

DWORD dwErrorCode = GetLastError();//dwErrorCode为E R R O R _I N VA L I D _ H A N D L E。

解决方案:为内核对象使用一个独一无二的命名对象。方法有:使用一个guid、使用专有空间命名(见windows核心编程第三章sington例子,应用程序sington可以参考)

<3>使用Du p l i c a t e H a n d l e.

 

参考资料:

1.      windows 核心编程第三章内核对象

2.      msdn关于CreateEvent的说明

3.      windows 图形编程第三章

                                                                          


akonlbjrd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows核心编程系列》谈谈内核对象及句柄的本质
01-09
本章讨论的是相对抽象的概念,不涉及任何具体的内核对象的细节而是讨论所有内核对象的共有特性。  首先让我们来了解一下什么是内核对象内核对象通过API来创建,每个内核对象是一个数据结构,它对应一块内存,由...
NtQueryObject 获得内核对象信息
kinghzking的专栏
12-09 6121
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
20170709Windows11_1_内核对象
蒲公英的博客
07-09 673
内核对象内核对象概述: 1:Windows操作系统中,内核对象可以通过WinObj工具来查看,WinObj工具下载地址:https://technet.microsoft.com/en-us/sysinternals/winobj,通过这个工具,可以看出Windows里面内核对象的本质是什么。 2:内核对象是属于操作系统的,进程仅仅是拥有内核对象的管理权,WinObj需要以管理员身份运行
进程结构体EPROCESS
maomao171314的专栏
02-01 2071
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
win32api之进程的创建与使用(二)
xf555er的博客
03-19 1569
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
C++ 内核对象
~探路者~的博客
11-29 804
转自http://www.cnblogs.com/Adon/archive/2009/10/11/1580784.html 1. 内核对象概述内核对象是操作系统的基础,系统内部的内核对象有:令牌(token)、事件(event)、文件(file)、文件映射(file-mapping), I/O完成端口(I/O completion port), 作业(job), 邮件mailslot, mutex
线程和内核对象的同步
05-06
《线程与内核对象的同步》 在多线程编程中,确保线程间的同步是至关重要的,以避免数据竞争和死锁等问题。本章主要探讨了通过内核对象实现线程同步的原理和方法,详细讲解了四种内核对象,分别是事件、等待定时器、...
lsobj:列出Windows内核对象名称空间(命令行WinObj)中的所有可见对象
05-16
lsobj 使用NtQueryDirectoryObject()列出Windows内核对象名称空间中的所有可见对象。 最初创建时具有与WinObj相同的功能,可以在无头服务器和服务器孤岛上运行。 拉请求和评论欢迎。
windows内核设计思想 完整版 part 2
01-27
Windows 内核设计思想》主要包括了Windows 内核加载器(ntldr)的分析,Windows 内核调试组件的设计,实现结构化异常处理的支持,并对内存管理和对象管理进行了精心讲解,同时对基于IRP 请求包的I/O 系统进行了...
windows 内核设计思想 完整版 part1
01-27
Windows 内核设计思想》主要包括了Windows 内核加载器(ntldr)的分析,Windows 内核调试组件的设计,实现结构化异常处理的支持,并对内存管理和对象管理进行了精心讲解,同时对基于IRP 请求包的I/O 系统进行了...
C++核心编程之类和对象---C++面向对象的三大特性--继承
最新发布
hjl011006的博客
01-13 976
利用已有的数据类型来定义新的数据类型,通过继承机制,可以利用已有的数据类型来定义新的数据类型。所定义的新的数据类型不仅拥有新定义的成员,而且还同时拥有旧的成员。我们称已存在的用来派生新类的类为基类,又称为父类。由已存在的类派生出的新类称为派生类,又称为子类。继承是面向对象三大特性之一。
Windows 10 X64 内核对象句柄表解析
vs2008ASPNET的专栏
05-24 1259
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄代表一个内核对象的内存地址,每个进程都有一个句柄表,它保存着进程拥有的句柄,内核也有一个句柄表 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄表地址,低两位为0 表示是1级表。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄表地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
C++系列 --- 线程内核对象
平凡
09-11 544
一、线程内核对象 线程内核对象就是一个包含了线程状态信息数据结构。每次对CreateThread函数的成功调用,系统都会在内部为新的线程分配一个内核对象。系统提供的管理线程的函数就是依靠访问线程内核对象来管理实现的。 线程内核对象结构 线程创建内核对象时,系统对它的各个成员进行初始化 1> 线程上下文句柄 每个线程都有自己的一组CPU寄存器,成为线程的上下文。这组寄存器的值...
Windows via C/C++】第3章 内核对象 (1)
HPP_CSDN的博客
01-28 347
内核对象的深入理解对于Windows软件开发人员是至关重要的。
Windows内核内核对象
eskimoer的专栏
05-22 1948
1内核对象定义: 1.1:每个内 核对象只是内核分配的一个内存块,并且只能由该内核访问。 1.2:该内存块是一种数据结构,它的成员负责维护该对象的各种信息。        有些数据成员(如安全性描述符、使用计数等)在所有对象类型中是相同的,但大多数数据成员属于特定的对象类型。例如,进程对象有一个进程ID 、一个基 本优先级和一个退出代码,而文件对象则拥有一个字节位移、一个共享模式和一个打开模
windows via c/c++ 三. 内核对象
vsooda的专栏
05-30 1390
1. 内核对象都只是一个内存块,它由操作系统内核分配,并只能由操作系统内核访问,这个内存块是一个数据结构,其成员维护着与对象相关的信息。 2. 调用一个创建内核对象的函数后,函数会返回一个句柄,它标识所创建的对象。这些句柄是进程相关的,无法直接在另一个进程通过句柄值调用。 3. 内核对象在创建时,通常要指定其安全性,可以据此判定内核对象 4. 进程终止时,系统能保证一切都被正确清除。 5.
WINDOWS内核对象
热门推荐
misterliwei的专栏
07-25 1万+
WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象内核对象是系统地址空间中的一个内存块,由系统创建并维护。内核对象内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象。  二.内核对象结构 每个对象都有对象头和对象体组成。所有类型的对象头结构都是相同的,而结构体部
windows内核对象
08-31
Windows内核对象是系统提供给用户模式下代码与内核模式下代码进行交互的基本接口。它们是一种管理资源的机制,用于在操作系统内部进行进程间通信、同步线程、共享数据等操作。 Windows内核对象可以通过使用Process ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值