句柄表

最新推荐文章于 2023-07-11 11:24:21 发布
最新推荐文章于 2023-07-11 11:24:21 发布
阅读量159 收藏
点赞数
分类专栏: win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l15263458908/article/details/90318299
版权

1. 什么是内核对象?

像进程,线程,文件,互斥体,事件等在内核都有一个对应的结构体,这些结构体由内核负责管理。我们管这样的对象叫做内核对象。

2. 如何管理内核对象?

通过一个叫 "句柄" 的东西

3. 每个进程都有一个句柄表

不是每个内核对象都有句柄表,只有进程内核对象才有句柄表,即句柄表是进程内核对象中的一个成员

4. 多进程共享一个内核对象

句柄表是一个私有的值,句柄只有在本进程中才有意义

CloseHandle 使内核对象的引用计数 - 1,一般情况下引用计数为0了,没有任何指针指向它,这个内核对象就会被移除

但是 进程内核对象和线程内核对象是特例,只有关闭所有的线程句柄和终止掉线程两个条件同时满足的时候,这个线程内核对象才会被移除

5. 句柄是否可以被继承

在创建一个内核对象的时候,一定会有一个参数

typedef struct _SECURITY_ATTRIBUTES {

DWORD nLength;

LPVOID lpSecurityDescriptor;

BOOL bInheritHandle; //该内核对象是否可以被继承

} SECURITY_ATTRIBUTES,

6. 进程是否能够继承父进程的句柄

当用CreateProcess创建进程的时候,第5个参数bInheritHandles如果设置为TRUE,那么父进程句柄表中可以被继承的内核对象句柄就会被继承过去,具体继承方式如上图所示,就是将整个句柄表复制过去,不能继承的填充0,这样的话,在子进程中的句柄值可以与父进程一模一样

 

z4ky
关注
专栏目录
内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-05 858
每个有效的句柄都对应着句柄中的一个项,项在句柄中的位置取决于句柄的值。每当进程创建或者打开一个对象,要为之创建句柄并将其插入句柄的时候,需要一个临时的HANDLE_TABLE_ENTRY数据结构,用ExCreateHandle将其安装到句柄中,而该函数返回句柄句柄的值明了安装的位置,也是目标项在句柄中的下标。
windows进程句柄
shyandsy的无边海洋
06-13 7793
一.介绍 1.什么是句柄 句柄windows应用程序用来示资源的一个符号,几乎所有的资源对于应用程序来说都示为一个句柄。比如文件,用CreateFile打开一个文件,成功则会得到一个句柄,其实就是一个32位无符号整数。“当一个进程根据名称来创建或者打开一个对象时,他收到一个句柄,然后通过此举并来访问该对象。”(深入解析windows操作系统,P135)。这里HANDLE类型的作用已经很清楚
句柄及全局句柄
Harlan的博客
09-01 3378
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
复习句柄(笔记)
weixin_30451709的博客
03-06 116
今天复习了下2K和XP/2003下的句柄结构,深入理解了X86下的分页机制后,再回顾这些东西就觉得非常简单了 2K: 2K下采用三层结构,上层256个项,每个项占用4字节 对应一个中层的地址,每个中层有256项,每个项占用4字节对应一个下层地址,每个下层256项,每个项占用8字节(每个项就是HANDLE_TABLE_ENTRY)。 因此 每个进程支持256*256*2...
1.句柄
My classmates
10-28 380
什么是句柄(内核对象) 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如: HANDLE g_hMutex =::CreateMutex(NULL,FALSE, "XYZ"); HANDLE g_hMutex =::OpenMutex(MUTEX ALL ACCESS, FALSE, "XYZ"
滴水线程创建句柄课上代码
07-26
"滴水线程创建句柄课上代码"这个标题暗示我们将会探讨如何在编程中管理和跟踪线程句柄,特别是在软件开发或插件实现中。下面我们将详细解释线程、句柄以及如何在代码中创建和管理这些元素。 线程是执行中的一个...
Win32学习笔记(6)句柄
wzprabbit的博客
12-17 557
句柄 1.首先我们了解一下什么是内核对象(比如进程、线程): 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这些结构体由内核负责管理。我们管这样的对象叫做内核对象。 如图当我们在应用层创建线程,进程等时系统会在内核层为我们创建相应结构体。我们管这种对象叫做内核对象。 那么我们怎么知道谁是内核对象,除了直接查找内核对象是谁,我们想要确定这个对象是不是内核对象还可以在官方文档里搜索它。比如:CreateThread()中会发现一个安全描述符: LPSECURITY_ATTRIB
Windows句柄学习笔记 —— 句柄&全局句柄
qq_41988448的博客
03-19 3651
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
句柄(私有句柄
Z875983491的专栏
10-30 971
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄(私有句柄)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
win32—句柄
怪味巧克力的博客
04-30 384
1.句柄 1.什么是内核对象? ​ 像进程,线程,文件,互斥体,事件等在内核都有一个对应的结构体,这些结构体有内核负责管理。我们管这样的对象叫做内核对象 2.每个进程都有一个句柄 如何管理进程呢?那么这个时候就出现了句柄。原因在于,不能让用户层直接访问内核层,一旦用户修改内核层面的,那么就出问题了,所以这个时候引入了句柄,起到一个索引的作用,换句话说,句柄就好比一道防火墙,隔离了用户...
内核对象句柄
xin_wu_hen的专栏
07-07 2542
一、什么是内核对象       在Windows中,为了简化对资源的访问,统一采用HANDLE来示各种各样的资源(如内存块、映射文件、Mutex、Semophore等等)在内存中的存放方式(一种数据结构),我们称之为对象。该数据结构中存放的是要访问的资源的相关信息,包括实际资源
2.全局句柄
My classmates
10-28 581
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局句柄中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
25.句柄
qq_35129925的博客
07-21 632
32位参考:https://blog.csdn.net/Kwansy/article/details/109801722 64位一级句柄
分析句柄
maomao171314的专栏
01-31 277
一、什么是句柄 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如:CreateMutex、CreateEvent 、CreateThread 等函数就会返回一个HANDLE类行值,这种就叫句柄,对应着一个内核对象。 调用CloseHandle 函数对应某个内核对象计数减一,当内核对象计数为0,这个对象就被销毁了。 内核对象在内核存储,直接把地址给3环用很不安全,所以微软设计了句柄(HANDLE)给3环使用,句柄是一个整数,它的值除以4是句柄的下标,通过下标能
句柄学习记录
qq_45844442的博客
07-11 104
句柄分为全局句柄与私有句柄
哈希的处理句柄含义
最新发布
12-05
根据提供的引用内容,没有明确说明“哈希的处理句柄含义”这个问题。但是可以解释一下哈希中的处理句柄的概念。 在哈希中,处理句柄通常是指一个指向哈希中某个元素的指针或引用。通过处理句柄,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值