线程句柄和线程标识

线程句柄和线程ID的区别

HANDLE的引用计数和有关的属性,HANDLE是os标识进程和线程的东西,但是用户也可以用这个来标识进程和线程,对其操作

●CreateThread() API 用于创建线程。 API 返回同时线程句柄，并通过参数得到线程标识符 (ID)。 线程句柄有完全访问权创建线程对象。 运行线程时线程 ID 唯一标识线程在系统级别。
●ID是在Windows系统范围内唯一标示Thread的。   
●Handle是用来操作Thread的，可以有多个，每个HANDLE可以有不同的操作权限，在不同进程OpenThread得到的值不一样。  
●线程的ID是系统全局的，其HANDLE是进程局部的.

●此ID只在线程的生存期内有效。

●HANDLE是os和client之间用来操作进程和线程一个桥梁,os有一张维护HANDLE的表单,里面大概放置了   HANDLE的引用计数和有关的属性,HANDLE是os标识进程和线程的东西,但是用户也可以用这个来标识进程和线程,对其操作;而ID是os用来标识进程和线程的,并且是全局唯一的,  但用户可以通过这个ID获得进程线程的HANDLE,多次得到的HANDLE并不一定是一样的.HANDLE是内核对象,而ID好像不是,并没有专门创建ID的函数.

●ID是CreateThread时操作系统自动生成的。

●线程的句柄和id是不同的。  
  在windows系统中，线程的id是唯一对应的，也就是说，如果两个线程返回相同的id,则他们必然是同一线程，反之一定是不同的线程。而线程的句柄并不是线程的唯一标识，线程的句柄只是用来访问该线程的的一个32位值，尽管相同的句柄一定标识同一线程，但同一线程可能拥有两个打开的句柄，因此，不能用句柄来区分两个线程是否是同一线程。

Boos::thread线程的默认属性为非分离状态,线程结束后线程标识符、线程退出状态等信息需要通过join方法回收。

boost::thread thread_func(func);

thread_func.join();

Join方法会阻塞，直到该线程执行结束。

Join函数是boost::thread中少数几个会抛出异常的方法之一。

当join函数过程中如果 interrupt() 方法被调用，join函数会抛出一个boost::thread_interrupted异常。

例外bool timed_join(TimeDuration const& rel_time);方法阻塞特定的时间，如果超时了但线程仍未退出，则返回false。

当用户并不关心线程的退出状态时，可以设置thread状态为分离，这样boost::thread会自动回收线程资源。

boost::thread thread_func(func);

thread_func.detach();

bool joinable() 方法返回线程是否是分离状态。

当代表一个执行线程的线程对象被破坏时，这个线程变成分离的，一旦它被分离，将会继续执行知道唤醒由构造体提供的函数或者可调用对象执行结束，或者程序已经结束。线程也可以通过调用detach()成员函数来显示的分离。在这种情形下，线程对象将不在表示一个当前分离的线程，而是一个非线程体。

用C++实现的壳

壳。。。。。。在了解了一些关于导入表，导出表，重定位表，IAT等基础知识后方可写出一个具有基本功能的壳

如果想要写一个加密，压缩或兼容性很强的壳的话，不是容易的事。

实现如IAT加密，IAT-Hook，花指令，反调试等功能的壳

基础版壳所实现的功能：

1，在原程序中添加一块区段，将壳部分的代码移植进去

2，在程序启动前优先获得控制权，执行完自己的代码以后再将控制权交还给原程序

3，对代码段进行简单的亦或加密、

4，对源程序的导入表IAT进行修复

5，如果源程序开启了随机基址，则对源程序进行重定位修复

项目分为两部分，第一部分为加壳程序（pack），第二部分为外壳程序（shell。dll）

其中涉及到的重点是修复导入表和重定位表，这是加壳后的程序能够正常运行的基础