01句柄表

已于 2023-05-11 11:54:48 修改
阅读量92 收藏
点赞数
分类专栏: 句柄表 文章标签: 开发语言 windows
于 2023-05-11 11:53:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130616698
版权
句柄是进程访问内核对象的唯一标识,每个进程有自己的句柄表。HANDLE_TABLE结构存储了句柄信息,包括句柄的级数、属性和对应的内核对象地址。对象头_OBJECT_HEADER包含了对象的相关计数、类型信息和安全描述符等。通过句柄,可以对进程进行操作,如OpenProcess函数使用句柄来获取进程的访问权限。
摘要由CSDN通过智能技术生成

句柄表

当一个进程创建或者打开一个内核对象的时候,将获得一个句柄,通过这个句柄可以访问内核对象

句柄存在的目的是为了避免在应用层直接修改内核对象

句柄表是私有的,每个进程一个

kd> dt _EPROCESS
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : Ptr32 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY
   +0x090 QuotaUsage       : [3] Uint4B
   +0x09c QuotaPeak        : [3] Uint4B
   +0x0a8 CommitCharge     : Uint4B
   +0x0ac PeakVirtualSize  : Uint4B
   +0x0b0 VirtualSize      : Uint4B
   +0x0b4 SessionProcessLinks : _LIST_ENTRY
   +0x0bc DebugPort        : Ptr32 Void
   +0x0c0 ExceptionPort    : Ptr32 Void
   +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE  ;这个就是句柄表的位置

_HANDLE_TABLE

kd> dt _HANDLE_TABLE 
ntdll!_HANDLE_TABLE
   +0x000 TableCode        : Uint4B ;TableCode就是所谓的句柄表
   +0x004 QuotaProcess     : Ptr32 _EPROCESS
   +0x008 UniqueProcessId  : Ptr32 Void
   +0x00c HandleTableLock  : [4] _EX_PUSH_LOCK
   +0x01c HandleTableList  : _LIST_ENTRY
   +0x024 HandleContentionEvent : _EX_PUSH_LOCK
   +0x028 DebugInfo        : Ptr32 _HANDLE_TRACE_DEBUG_INFO
   +0x02c ExtraInfoPages   : Int4B
   +0x030 FirstFree        : Uint4B
   +0x034 LastFree         : Uint4B
   +0x038 NextHandleNeedingPool : Uint4B
   +0x03c HandleCount      : Int4B
   +0x040 Flags            : Uint4B
   +0x040 StrictFIFO       : Pos 0, 1 Bit

TableCode的低2为可以判断出,这个句柄表是几级的
在这里插入图片描述

指明句柄表的级数,如果低两位是0,那么指向的句柄表里面存放的就是真正的句柄;如果低两位是1,那么指向的第一张句柄表的每一个成员都是一个地址,每一个地址指向每一个真正的句柄表,以此类推低两位是2的情况

句柄表结构

句柄就是索引

每个句柄对象在0环占用8个字节,但是索引是按照4个字节的(考虑是为了兼容性),当我们获得 : 句柄值 / 4 * 8
在这里插入图片描述
①:这一块共计两个字节,高位字节是给SetHandleInformation这个函数用的
②:这块是访问掩码,是给OpenProcess这个函数用的,具体的存的值就是这个函数的第一个参数的值
③ 和 ④ 这两个块共计四个字节 : bit0-bit2存的是这个句柄的属性,bit2和bit0默认为0和1,bit1表示的函数是该句柄是否可继承,OpenProcess的第二个参数与bit1有关,bit31-bit3则是存放的该内核对象在内核中的具体的地址

_OBJECT_HEADER

最后两位是句柄表的属性,我们需要清零才能得到结构体的地址,但是,这个结构体指向的不是EPROCESS,而是_OBJECT_HEADER结构体,这个是每一个内核对象都有的,被称为对象头:

kd> dt _OBJECT_HEADER
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Type             : Ptr32 _OBJECT_TYPE
   +0x00c NameInfoOffset   : UChar
   +0x00d HandleInfoOffset : UChar
   +0x00e QuotaInfoOffset  : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD

3环代码(实验)


#include "stdafx.h"
#include <stdlib.h>
#include <windows.h>

int main(int argc, char* argv[])
{
   int pid;
   printf("请输入程序的pid:");
   scanf("%d",&pid);
   HANDLE hprocess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);
   if (hprocess==INVALID_HANDLE_VALUE)
   {
      puts("进程句柄无效!!!");
   }
   else
   {
      printf("打开进程获得句柄成功!句柄为:%d\n",hprocess);
   }
   system("pause");
   CloseHandle(hprocess);
   return 0;
}


kd> dt _EPROCESS 896c06b8  
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER 0x01d983ba`fcd5192d
   +0x078 ExitTime         : _LARGE_INTEGER 0x0
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : 0x000001f8 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x896bb0a8 - 0x899bd448 ]
   +0x090 QuotaUsage       : [3] 0x460
   +0x09c QuotaPeak        : [3] 0x650
   +0x0a8 CommitCharge     : 0x40
   +0x0ac PeakVirtualSize  : 0x825000
   +0x0b0 VirtualSize      : 0x7b3000
   +0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0x896bb0d4 - 0x899bd474 ]
   +0x0bc DebugPort        : 0x899a9af8 Void
   +0x0c0 ExceptionPort    : 0xe1658ba8 Void
   +0x0c4 ObjectTable      : 0xe1a3eab8 _HANDLE_TABLE


ntdll!_HANDLE_TABLE
   +0x000 TableCode        : 0xe1245000
   +0x004 QuotaProcess     : 0x896c06b8 _EPROCESS
   +0x008 UniqueProcessId  : 0x000001f8 Void
   +0x00c HandleTableLock  : [4] _EX_PUSH_LOCK
   +0x01c HandleTableList  : _LIST_ENTRY [ 0xe1825f64 - 0xe11dd09c ]
   +0x024 HandleContentionEvent : _EX_PUSH_LOCK
   +0x028 DebugInfo        : (null) 
   +0x02c ExtraInfoPages   : 0n0
   +0x030 FirstFree        : 0x7dc
   +0x034 LastFree         : 0
   +0x038 NextHandleNeedingPool : 0x800
   +0x03c HandleCount      : 0n21
   +0x040 Flags            : 0
   +0x040 StrictFIFO       : 0y0

kd> dq 0xe1245000 + FD0
ReadVirtual: e1245fd0 not properly sign extended
e1245fd0  001f0fff`896d8ae9 021f0001`e108a729
e1245fe0  000f000f`e16add39 000007b8`00000000
e1245ff0  00000003`e15ec929 000f0003`e10096b9
e1246000  00000001`00000000 00000006`fffffff7
e1246010  38cccc78`00000009 00000078`cccc0c0c


kd> dt _OBJECT_HEADER 896d8ae8
nt!_OBJECT_HEADER
   +0x000 PointerCount     : 0n16
   +0x004 HandleCount      : 0n3
   +0x004 NextToFree       : 0x00000003 Void
   +0x008 Type             : 0x89bf1040 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0 ''
   +0x00d HandleInfoOffset : 0 ''
   +0x00e QuotaInfoOffset  : 0 ''
   +0x00f Flags            : 0x20 ' '
   +0x010 ObjectCreateInfo : 0x89a644f8 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x89a644f8 Void
   +0x014 SecurityDescriptor : 0xe1c111a4 Void
   +0x018 Body             : _QUAD


kd> dt _EPROCESS 0x896d8ae8 + 0x018
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER 0x01d983b9`8fa1129a
   +0x078 ExitTime         : _LARGE_INTEGER 0x0
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : 0x000004f8 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x899bd448 - 0x89943e28 ]
   +0x090 QuotaUsage       : [3] 0xa78
   +0x09c QuotaPeak        : [3] 0xaf0
   +0x0a8 CommitCharge     : 0x17f
   +0x0ac PeakVirtualSize  : 0x244d000
   +0x0b0 VirtualSize      : 0x2007000
   +0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0x899bd474 - 0x89943e54 ]
   +0x0bc DebugPort        : (null) 
   +0x0c0 ExceptionPort    : 0xe1658ba8 Void
   +0x0c4 ObjectTable      : 0xe1077978 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : 0x279a5
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : 0
   +0x114 ForkInProgress   : (null) 
   +0x118 HardwareTrigger  : 0
   +0x11c VadRoot          : 0x89a3bca0 Void
   +0x120 VadHint          : 0x896bde70 Void
   +0x124 CloneRoot        : (null) 
   +0x128 NumberOfPrivatePages : 0xbf
   +0x12c NumberOfLockedPages : 0
   +0x130 Win32Process     : 0xe1269778 Void
   +0x134 Job              : (null) 
   +0x138 SectionObject    : 0xe19b4500 Void
   +0x13c SectionBaseAddress : 0x01000000 Void
   +0x140 QuotaBlock       : 0x89a644f8 _EPROCESS_QUOTA_BLOCK
   +0x144 WorkingSetWatch  : (null) 
   +0x148 Win32WindowStation : 0x0000003c Void
   +0x14c InheritedFromUniqueProcessId : 0x00000594 Void
   +0x150 LdtInformation   : (null) 
   +0x154 VadFreeHint      : (null) 
   +0x158 VdmObjects       : (null) 
   +0x15c DeviceMap        : 0xe171c4d8 Void
   +0x160 PhysicalVadList  : _LIST_ENTRY [ 0x896d8c60 - 0x896d8c60 ]
   +0x168 PageDirectoryPte : _HARDWARE_PTE_X86
   +0x168 Filler           : 0
   +0x170 Session          : 0xf79a1000 Void
   +0x174 ImageFileName    : [16]  "notepad.exe"  ;我们找到了
   +0x184 JobLinks         : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x18c LockedPagesList  : (null)
柠檬的泪是酸的@
关注
专栏目录
枚举内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-14 914
前面我写过有关内核句柄的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-05 861
每个有效的句柄都对应着句柄中的一个项,项在句柄中的位置取决于句柄的值。每当进程创建或者打开一个对象,要为之创建句柄并将其插入句柄的时候,需要一个临时的HANDLE_TABLE_ENTRY数据结构,用ExCreateHandle将其安装到句柄中,而该函数返回句柄句柄的值明了安装的位置,也是目标项在句柄中的下标。
分析句柄
maomao171314的专栏
01-31 279
一、什么是句柄 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如:CreateMutex、CreateEvent 、CreateThread 等函数就会返回一个HANDLE类行值,这种就叫句柄,对应着一个内核对象。 调用CloseHandle 函数对应某个内核对象计数减一,当内核对象计数为0,这个对象就被销毁了。 内核对象在内核存储,直接把地址给3环用很不安全,所以微软设计了句柄(HANDLE)给3环使用,句柄是一个整数,它的值除以4是句柄的下标,通过下标能
私有句柄
qq_29176323的博客
04-11 703
私有句柄是操作系统内部的一种数据结构,用于存储一个进程所拥有的句柄(或称为句柄对象)的信息。在操作系统中,句柄是一个标识符,用于唯一标识一个对象,例如文件、套接字、管道等等。GPT是这样说的,
句柄学习记录
qq_45844442的博客
07-11 106
句柄分为全局句柄与私有句柄
25.句柄
qq_35129925的博客
07-21 633
32位参考:https://blog.csdn.net/Kwansy/article/details/109801722 64位一级句柄
窗口句柄查询器01.rar
03-19
窗口句柄查询器01.rar 是一个压缩包文件,其中包含了一个名为“窗口句柄查询器01.exe”的可执行程序。这个程序主要是用于查询和分析Windows操作系统中的窗口句柄。窗口句柄在IT领域中是Windows编程的一个关键概念,...
windows进程句柄权限控制
10-14
Windows操作系统中,进程句柄权限控制是内核级别的安全机制,它关乎系统资源的访问与管理。进程句柄Windows系统中用于标识和管理对象(如文件、窗口、设备等)的一种方式,而权限控制则确保了只有拥有适当权限的...
1.句柄
My classmates
10-28 382
什么是句柄(内核对象) 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如: HANDLE g_hMutex =::CreateMutex(NULL,FALSE, &amp;amp;amp;quot;XYZ&amp;amp;amp;quot;); HANDLE g_hMutex =::OpenMutex(MUTEX ALL ACCESS, FALSE, &amp;amp;amp;quot;XYZ&amp;amp;amp;quot;
句柄
qq_41232519的博客
09-13 421
文章目录一、什么是内核对象?二、如何管理内核对象?三、每个进程都有一个句柄四、多进程共享一个内核对象五、句柄是否”可以”被继承 一、什么是内核对象? 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这 些结构体由内核负责管理。我们管这样的对象叫做内核对象。 二、如何管理内核对象? 一个进程可以在创建进程、线程、事件、文件,在内核中也会对应一个内核对象(结构体) 三、每个进程都有一个句柄 正常管理,因该是将内核对象地址返回来,应用层通过地址访问,但是因为内核对象在0环,如果将值改了,就会
NRF24L01驱动函数,HAL库版本,使用前请为相关引脚添加对应标签并指定硬件SPI句柄
11-13
同时,你需要配置硬件SPI接口,指定对应的SPI句柄,这通常是SPI1或SPI2等,以便在代码中通过该句柄进行SPI通信。 在标签中提到了"stm32",这意味着这个驱动程序是为STM32系列微控制器设计的。STM32是由...
matlab建模入门指导
最新发布
大摆王的博客
11-13 1129
基于牛顿冷却定律的matlab入门基础题建模解析
数据结构之带头双向循环链
2402_84532723的博客
11-10 1338
有了单链的基础,要实现这个双向循环带头链其实并不难。下面我们先来了解一下什么是双向循环带头链。这就是双向循环带头链的结构图,可以很清晰的看到,这个链需要两个指针,一个指向后继结点,一个指向前驱节点,其次还需要一个头结点。只是这个头结点并不需要存储有效数据。//存储的数据类型//链的定义//指向后继节点//指向前驱节点}LTNode;
Windows】CMD命令学习——系统命令
一个写了10年bug的程序员日常笔记。
11-07 1261
CMD(命令提示符)是Windows操作系统中的一个命令行解释器,允许用户通过输入命令来执行各种系统操作。
检测敏感词功能
qq_48512649的博客
11-08 400
然后我得先对这些txt文件进行处理转换成我们能用的格式:一开始我直接for循环查找是否含有敏感词,后边找资料看到一个DFA算法。这样处理过后的数据就是List,或者可以处理成数组、集合都可以。不管是什么格式的总之量非常多,把我这辈子脏话都囊括了🥶。我把处理出来的数据放在HashSet中。
AscendC从入门到精通系列(一)初步感知AscendC
xyz3120的专栏
11-08 542
Ascend C是CANN针对算子开发场景推出的编程语言,原生支持C和C++标准规范,兼具开发效率和运行性能。基于Ascend C编写的算子程序,通过编译器编译和运行时调度,运行在昇腾AI处理器上。使用Ascend C,开发者可以基于昇腾AI硬件,高效的实现自定义的创新算法。
Amazon S3:S3静态网站托管教程.docx
11-12
Amazon S3:S3静态网站托管教程.docx
基于支持向量机SVM-Adaboost的风电场预测研究附Matlab代码.rar
11-12
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于花朵授粉优化算法FPA优化TCN-BiGRU-Attention实现光伏数据回归预测附Matlab代码.rar
11-12
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
【粗糙面】基于matlab一维介质粗糙面双站散射系数计算【含Matlab源码 9130期】.mp4
11-12
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值