驱动-句柄表

最新推荐文章于 2023-07-16 19:03:01 发布
最新推荐文章于 2023-07-16 19:03:01 发布
阅读量539 收藏 1
点赞数
文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengtoreal/article/details/114732579
版权

句柄表

当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象

  • 句柄存在的目的是为了避免在应用层直接修改内核对象
  • 只有进程才有句柄表,句柄表保存了进程中打开或创建的内核对象
  • 关闭句柄后,会在句柄表中删除对应的项值,并将内核对象引用计数+1
  • 进程关闭后,会清空句柄表,将内核对象引用计数-1
  • 句柄的值都是4的整数倍,所以将句柄的值/4得到索引,再在句柄表中找对应值得到实际内核对象地址
  • 因句柄表值是8字节,一个页4KB,句柄在512个以内是在一个页上,如果超过512个,句柄标会更改结构,第一级的4kb页会保存指向句柄表的地址,可以保存1024个,第二级才是真正的句柄表,值512个,共能保存1024*512个

进程中EPROCESS 0x0f4 ObjectTable _HANDLE_TABLE句柄表

nt!_HANDLE_TABLE					
   +0x000 TableCode	句柄表地址 句柄表中的值是8字节
   +0x004 QuotaProcess	
   +0x008 UniqueProcessId

句柄

  • 句柄表后3位是属性位,查看地址时需要清零
  • 查看进程结构时因每个内核对象都有一个OBJECT_HEADER,查看内核对象结构是从0x18开始,所以需要将地址最后一个数拆分后将后3位清零再加上0x18,查看对应对象结构

在这里插入图片描述
在这里插入图片描述

全局句柄表

  • windbg指令dd PsdCidTable查看全局句柄表地址,也是_HANDLE_TABLE结构体
  • 只存储进程与线程
  • 可以遍历全局句柄表找到进程句柄,在查看进程句柄表有没有我们的子程序,如果有可能是调试器
  • 全局句柄表的值不需要加0x18,自动过滤了OBJECT_HEADER,不过也是要把最后3位属性位清零

MmGetSystemRoutineAddress()函数

  • MmGetSystemRoutineAddress(“函数名”) 参数是Unicode的函数名
  • 查看导出函数的地址
  • 不会被IAT HOOK影响,从内核模块导出表直接找函数地址
  • 函数虽然导出了,但是无法直接使用
chengtoreal
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跟我一起学习windows驱动编程(对象和句柄
mofabang的专栏
10-27 1280
上回书说到对象,咱们是看不到对象的,我们可以使用句柄。 什么是句柄? 句柄是一个指针。 它的定义是:typedef void *HANDLE;在c:\Program Files (x86)\Windows Kits\8.1\Include\wdf\kmdf\1.11\wdftypes.h里可以看到句柄的定义://wdftypes.h// // General Handle Type, shou
关于获取进程句柄的问题
轻疯 清风
01-25 7789
使用CreateProcess创建一个进程后,PROCESS_INFORMATION结构中会包含进程的handle,和唯一存在的进程ID 而后使用openprocess打开进程时,根据第一个参数 (dwDesiredAccess:想拥有的该进程访问权限PROCESS_ALL_ACCESS  //所有能获得的权限PROCESS_CREATE_PROCESS  //需要创建一个进程PR
驱动中以文件句柄形式调用其他驱动程序(异步调用二)
125096
08-07 556
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDKB"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
驱动内核打开进程
09-27
驱动内核打开进程.驱动内核打开进程.驱动内核打开进程.
驱动保护进程 句柄降权 杀软自保 游戏破图标技术实现代码
11-19
驱动保护进程 句柄降权 杀软自保 游戏破图标技术实现代码
手机USB驱动自动安装(句柄)
12-25
在IT行业中,尤其是在Windows系统开发和自动化操作领域,"手机USB驱动自动安装(句柄)"是一个重要的技术主题。本文将详细解析这个主题涉及的关键知识点,包括C#编程、USB驱动程序、自动安装过程以及句柄的使用。 ...
易语言句柄猎手源码-易语言
06-13
4. **事件驱动编程**:易语言支持事件驱动编程模型,通过注册事件处理函数,可以响应用户的鼠标点击、键盘输入等事件,使得句柄猎手具有交互性。 5. **界面设计**:易语言提供了丰富的界面组件和布局管理,源码中会...
易语言-拖放鼠标取指定窗口句柄
06-25
总的来说,“易语言-拖放鼠标取指定窗口句柄”这一主题涵盖了易语言的事件驱动编程、Windows API调用以及鼠标操作的实现,对于提升易语言编程技能和理解Windows系统底层机制都有很大的帮助。通过实际操作和学习相关...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍历进程句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
25.句柄
qq_35129925的博客
07-21 556
32位参考:https://blog.csdn.net/Kwansy/article/details/109801722 64位一级句柄
通过ObReferenceObjectByHandle了解进程句柄三张
qq_41610493的博客
04-05 920
逆向实战
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
最新发布
a756598009的博客
07-16 611
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
驱动中关闭句柄注意事项
weixin_34266504的博客
03-13 422
2019独角兽企业重金招聘Python工程师标准>>> ...
驱动中枚举和关闭内核句柄
liwen930723的专栏
09-25 2221
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行: *(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
跟我一起学习windows驱动编程(引用计数、上下文空间)
mofabang的专栏
10-27 1150
引用计数内核管理器为每个全局对象维护一个引用计数。 内核对象有一个对象头结构体_object_header。 _object_header里变量PointerCount和HandleCount,就是引用计数。 内核程序可以通过对象指针直接使用内核对象, 用户程序通过获取的有效HANDLE间接使用内核对象。WDF框架对象不是全局对象,因此,对象管理器不管理WDF框架对象。 通过句柄方式引用W
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6769
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
块设备驱动-模块引用计数理解
guogaofeng1219的专栏
08-25 2091
引用计数的理解 Add_disk 调用blk_register_region,传入exact_lock。 而exact_lock会调用get_disk增加模块的引用计数。 Add_disk之后调用register_disk,它会调用blkdev_get,最终调用do_open尝试打开盘,增加引用计数,然后调用blkdev_put来减少引用计数。  add_disk           b
linux 驱动使用计数管理,Linux设备驱动程序学习(12)-Linux设备模型(底层原理简介)...
weixin_33980343的博客
05-13 130
externint__must_check kobject_init_and_add(structkobject*kobj,structkobj_type*ktype,structkobject*parent,constchar*fmt,...);这样...
LabVIEW引用句柄
05-24
在LabVIEW中,引用句柄是一种数据类型,它是一个指向内存中对象的指针。它提供了一种跨VI、跨进程或跨计算机共享数据的方式。引用句柄可以用于访问各种对象,如数组、图形、文件、设备等。 在创建引用句柄时,LabVIEW会分配一块内存,该内存用于存储对象的数据。引用句柄还包括一个指针,该指针指向该内存。通过引用句柄,可以将对象传递给其他VI,以及在VI之间共享对象数据。 引用句柄在LabVIEW中使用广泛,并且是许多LabVIEW库和工具包的基础。例如,在使用LabVIEW进行图像处理时,可以使用引用句柄来访问图像数据。此外,在使用LabVIEW进行硬件控制时,也可以使用引用句柄来访问设备驱动程序中的对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值