伪句柄分析

最新推荐文章于 2021-07-01 12:17:25 发布
最新推荐文章于 2021-07-01 12:17:25 发布
阅读量797 收藏
点赞数 1
分类专栏: windows底层 文章标签: windows api thread object 文档 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cshcmqcsh/article/details/6427420
版权

  <<Windows核心编程>>6.8节中提到了一个线程“伪句柄“概念,同时指出线程的伪句柄是当前线程的句柄,也就是调用函数的线程的句柄。

   

  感觉单从概念上还不能充分的理解,必须深入分析。Windows就是隐藏了太多的东西,你越不分析透,就越不能理解,内心就越不踏实。

 

  显然,GetCurrentThread()返回的是一个伪句柄,那就从它开始。

 

  通过实验,发现不管如何调用,GetCurrentThread()返回的伪句柄都是一个固定值0xfffffffe(-2),这显然不是一个有效句柄(地址)。其实,GetCurrentThread()仅简单的调用了NTCurrentThread(),而后者是一个宏#define NTCurrentThread() (HANDLE)(LONG_PRT)-2).

显然,GetCurrentThread()并不会影响到Thread Object ,例如引用计数。这个结果意义不大。

 

  API函数是如何应用伪句柄的?

 

  以GetThreadTimes()为例,第一个传入参数hThread,API文档并不要求这是一个实或伪句柄。它的调用链为:GetThreadTimes()->NTQueryInformationThread()->ObReferenceObjectByHandle()->PsGetCurrentThread()->KeGetCurrentThread(),最后KeGetCurrentThread()通过{mov eax, fs:[0] KPCR.PrcbData.CurrentThread}返回了指向线程_KTHREAD 的指针。这其中比较关键的地方就是ObReferenceObjectByHandle(),它根据传入的Handle类型判断是否一个实或伪句柄,如是是一个伪句柄,则接着调用PsGetCurrentThread()。最终,实现了伪到实的转换。

 

  至此,也算对伪句有点理解,但Windows为什么要用伪句柄机制呢?为了安全?但有GetCurrentThreadID()啊。一时想不明。。。

cshcmqcsh
关注
专栏目录
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8598
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
windows10句柄捕捉异常
weixin_45800485的博客
04-13 385
win10捕捉句柄与任务管理给出句柄不一致 环境:vs2019 Windows SDK:10.0 win10版本 :20H2家庭版 一:查看程序本身句柄 利用GetCurrentProcess()函数获取进程句柄,在转换为进程句柄,发现与任务管理器给出句柄不一致 //代码 DWORD pid = GetCurrentProcessId(); HANDLE hProcess = NULL; DuplicateHandle(GetCurrentProcess(), GetCurrentThread()
句柄
bookish_2010_prj的专栏
11-18 1378
句柄在使用很多函数的时候,我们都需要获得一个对象的句柄,而某些函数返回的是句柄句柄本身不会打开内核对象的句柄表,因此内核对象的使用计数就不会增加。它本身就只指向调用它的主调进程或线程。会因为调用者的不同而改变,比如:调用者A使用一个句柄,这个句柄指向调用者A,而调用者A将该句柄传递给调用者X,则这个句柄就指向调用者X。我们可以通过调试的方式查看句柄,可以得知,进程的句柄总是0xffffffff,而线程的句柄总是0xfffffffe。通过使用DuplicateHandle这个强大的函数,可以将
Windows 句柄 详解
new blog: www.burningcodes.net
11-30 3482
在使用很多函数的时候,我们都需要获得一个对象的句柄,而某些函数返回的是句柄句柄本身不会打开内核对象的句柄表,因此内核对象的使用计数就不会增加。它本身就只指向调用它的主调进程或线程。会因为调用者的不同而改变,比如:调用者A使用一个句柄,这个句柄指向调用者A,而调用者A将该句柄传递给调用者X,则这个句柄就指向调用者X。   GetCurrentThread函数和GetCurrentP
句柄句柄
CrazyNPC的专栏
03-11 522
GetCurrentProcess(), DuplicateHandle()Window中为什么会有句柄的概念:从Visual C++的头文件来看,HANDLE被typedef为void的指针,那是指向未确定数据结构的指针:typedef void* HANDLE; 但是这并不说明任何问题,因为句柄远远不只是指向任意数据类型的指针。它是指向数据对象指针的指针。句柄的使用来源于早期的Windows
windows核心编程-进程的句柄和如何获得
qq_22423659的博客
11-25 1353
进程句柄不同于进程内核对象的句柄 进程内核对象句柄:代表整个进程的 进程句柄:exe或者dll装入某个进程的地址空间,有唯一的实例句柄,也可以叫做模块句柄 进程句柄的本质是进程模块在进程地址空间中的首地址! 一:GetModuleFileName DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, //进程句柄
编译原理复习(5)语法分析--自下而上分析
KONGxy的博客
07-01 1683
自下而上分析自下而上分析基本问题归约规范归约算符优先分析LR分析法出错判断:基本思想LR文法构造LR分析表LR(0)分析表的构造思想:前缀:活前缀:LR(0)项目构造NFA的方法(识别活前缀)LR(0)项目集规范族和LR(0)分析表的构造构造识别活前缀的DFA有效项目的定义LR(0)文法判别构造LR(0)分析表的算法SLR分析表的构造关系冲突解决方法SLR(1)分析表例题LR(1)文法有效项目:项目集I 的闭包CLOSURE(I)构造方法:项目集的转移函数GO分析表构造LALR分析表的构造解决二义文法语法分
易语言内存整理
07-22
Windows操作系统中,进程句柄是一个用于标识和操作进程的数值,而“句柄”可能是指易语言特有的表示方式。通过获取当前进程的句柄,程序员可以对进程进行各种操作,如读取或修改进程状态,或者像在这个案例中...
句柄是什么
ouyang2008的专栏
08-02 3354
今天看核心编程,看到他说的句柄,着实有些迷糊,上网上查查,也说的是云里雾里的,所以我就去看看MICROSOFT的MSDN,他们也是遮遮掩掩的,没有办法我就只有靠一些调试工具来解决了。从MSDN上,我们知道象GETCURRENTPROCESS,GETCURRENTTHREAD都是在KERNEL32中,所以我用了OLLYDBG加载了这DLL文件,从中我们可以执行单个文件,恩,返回值和应用程序中返
句柄句柄
FlowShell的专栏
04-18 2456
<br />句柄的由来:<br />      从Visual C++的头文件来看,HANDLE被typedef为void的指针,那是指向未确定数据结构的指针:typedef void* HANDLE;<br />但是这并不说明任何问题,因为句柄远远不只是指向任意数据类型的指针。它是指向数据对象指针的指针。句柄的使用来源于早期的Windows,当时它只能在有限内存的机器中允许(因为当时内存昂贵也存储小)。为了留出足够的空间内存以运行其他程序,Windows经常将对象在内存中移动。但是如果进程已经有了指向该对
关于句柄句柄
MaYang_的博客
12-05 552
https://www.cnblogs.com/zpcdbky/p/4652151.html 补充:句柄,就是用来维护进程或者系统范围内的一个标识。就比如我们去访问一个文件的时候,同一时刻,只能有一个进程访问,不能有其他,这个句柄就是这个文件锁。句柄是一个动态的地址,用来记录当前对象的分配,很明显就只有一个。任何一个对象都有一个句柄。 关于句柄: 官方解释:句柄是一个特殊的常量,当前为(HAN...
句柄转换为真正的句柄
狂风暴雨
04-16 588
GetCurrentProcess();              GetCurrentThread(); 这2个函数返回的是一个进程内核对象或者线程内核对象的一个句柄
GetCurrentThread()获取当前线程句柄的陷阱
白永辉的专栏
04-26 9284
创建了一个结构体,其中有一个字段是线程句柄HANDLE 当新创建的线程执行时,需要去获取结构体中关于该句柄的其他内容; 因此,以HANDLE作为查找条件进行获取 于是想起GetCurrentThread()方法来获取当前线程的句柄 函数原型: HANDLE GetCurrentThread(void); 返回值: A pseudohandle for the current
MATLAB教程:矩阵逆运算与逆运算
在MATLAB中,矩阵的逆运算对于解决线性方程组、矩阵分解以及数据分析等任务至关重要。`inv()`函数是MATLAB中用于计算方阵(即行数和列数相等的矩阵)逆的内置函数。如果一个方阵A可逆,即存在另一个方阵B,使得AB=BA...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值