深入理解句柄表

最新推荐文章于 2023-04-11 10:00:59 发布
最新推荐文章于 2023-04-11 10:00:59 发布
阅读量3.5k 收藏 5
点赞数 1
分类专栏: 操作系统

涉及到句柄表的有以下这些概念:

  • HANDLE_TABLE
  • HANDLE_TABLE结构体中的TableCode变量

实际上啊,TableCode是指向句柄表项第一个句柄表项的指针(NULL句柄表项),TableCode就是HANDLE_TABLE_ENTRY的指针。

但是,当有两级以上表时,这个时候就不是了,先来搞定最简单的。

HANDLE_TABLE_ENTRY:句柄表项

对象头_OBJECT_HANDLE

EXHANDLE:这个就是提供给用户使用的句柄值

HANDLE_TABLE_ENTRY是一个8个字节的结构体。它包括:

  • 指向对象头的指针
  • 32位的访问掩码

因为对象头_OBJECT_HANDLE的大小是0x18h,是8的倍数,因为对象头总是按照8个字节对齐。所以对象头的地址低3位肯定是0。所以HANDLE_TABLE_ENTRY的对象头的指针的低3位为0,低三位被用作一些访问标志。

句柄值:通过查看句柄值可以发现,句柄值总是4的倍数。例如:

0x0004

0x0008

0x000C

0x0010

所以,句柄值低2位总是0,所以低2位可以被用作标志位。

句柄值的结构类型是EXHANDLE,在EXHANDLE中低2位为标志位。

0x0000这一个句柄值被用来做位NULL无效句柄。提供给用户使用:

if(Handle == NULL/ *0x0000*/ )

return;

typedef struct _EXHANDLE

{

// 注意啦,这里是个联合。

// 实际上该结构体就占4个字节

union

{

struct

{

ULONG TagBits:2;

ULONG Index:30;

}

HANDLE GenericHandleOverlay; //呵呵,这是用来提供给用户使用的句柄。

#define HANLE_VALUE_INC 4

ULONG_PTR Value; //这个表示什么意思呢?

}

}EXHANDLE,*PEXHANDLE;

*******************************************************************************

如何知道HANDLE_TABLE和HANDLE_TABLE_ENTRY的关系,可以参考ExpAllocateHandleTable。

ExpAllocateHandleTable用来为每个进程分配句柄表,并初始化句柄表。第一次只分配0级的句柄(保存真正句柄项)。

*******************************************************************************

我不知道该怎么写才顺,我就按照我的分析流程写吧。

!Process 查看当前进程

PROCESS 87ca7cf8   SessionId: 0   Cid: 0cb0     Peb: 7ffd8000   ParentCid: 03c4

     DirBase: 3f13d000   ObjectTable: e2d11b78   HandleCount:   76.

     Image: windbg.exe

其中EPROCESS的地址在87ca7cf8,ObjectTable的地址在e2d11b78

ObjectTable是HANDLE_TABLE结构变量,它保存在EPROCESS中。

dt _EPROCESS 87ca7cf8   来查看EPROCESS结构体的值。

.....

    +0x0c4 ObjectTable       : 0xe2d11b78_HANDLE_TABLE

......

ObjectTable在EPROCESS偏移0x0c4处。

ObjectTable保存着关于句柄表的信息。

我们使用下面的命令来查看HANDLE_TABLE内容:

dt _HANDLE_TABLE 0xe2d11b78     

    +0x000 TableCode         : 0xe4702000

   ......

其中偏移0为TableCode,它实际上是句柄项(_HANDLE_TABLE_ENTRY)的指针。

句柄项(_HANDLE_TABLE_ENTRY)是用来保存真正的句柄信息的结构体。

(注意,当TableCode低2位为0时,TableCode才指向_HANDLE_TABLE_ENTRY,至于如何给TableCode分配值,还是需要分析一下源码。)

_HANDLE_TABLE_ENTRY是两个32位的结构体:一个指向对象头的指针;一个是32位的标志。

注意,这个32位的对象头的指针并不是全部有效。因为对象头为0x18个字节,所以windows能保证对象头的分配地址总是8的倍数。所以这32位的对象头的指针低3位肯定都为0,windows将这低3位用作其他用途。因此,当我们使用对象头指针时,一定要记得,低3位值不是我们需要的,应该置0 。即:value & 0xFFFFFFF8。

我们使用dt _HANDLE_TABLE_ENTRY 0xe4702000 来查看其值。

lkd> dt _HANDLE_TABLE_ENTRY 0xe4702000

nt!_HANDLE_TABLE_ENTRY

    +0x000 Object            : (null)

    +0x000 ObAttributes      : 0

    +0x000 InfoTable         : (null)

    +0x000 Value             : 0

    +0x004 GrantedAccess     : 0xfffffffe

    +0x004 GrantedAccessIndex : 0xfffe

    +0x006 CreatorBackTraceIndex : 0xffff

    +0x004 NextFreeTableEntry : -2

但是得到的值好像是无效的。

这就对了,因为句柄表的第一个值不被使用,做为一个无效值,用来提供给程序员做错误处理使用。

下面该怎么办呢?句柄表,句柄表肯定是一个连续的数组,连续的保存一些句柄表项。

我们使用dd 0x4702000来查看这块地址的一些值

lkd> dd 0xe4702000

e4702000   00000000 fffffffe e1008719 000f0003

e4702010   e1858019 00000003 87d68f13 00100020

......

看,值出来了,因为一个句柄表项_HANDLE_TABLE_ENTRY占8个字节。所以,前两个值看似一个无效的值。但是红色标示的却象个有用的句柄项。

注意了,_HANDLE_TABLE_ENTRY是2个32位组成的64位结构体。前面说过了,低32位是对象头的指针。但是要得到对象头的指针,我们必须将值&0xFFFFFFF8,将低3位置0。

e1008719 & 0xFFFFFFF8 = e1008718

我们还必须加上0x18才能得到真正的内核对象。因为内核对象在对象头的后面,对象头的大小是0x18

dt _object_header

lkd> dt _object_header

nt!_OBJECT_HEADER

    +0x000 PointerCount      : Int4B

...

    +0x018 Body              : _QUAD

用刚才的 e1008718 + 0x018 = e1008730 ,然后我们使用!Object e1008730查看。

lkd> !object e1008730

Object: e1008730    Type: (89bddad0) KeyedEvent

     ObjectHeader: e1008718 (old version)

     HandleCount: 48   PointerCount: 49

     Directory Object: e1000270   Name: CritSecOutOfMemoryEvent

哈哈,挺像的 。使用!Handle列出当前句柄来测试一把。

lkd> !handle

processor number 0, process 87ca7cf8

PROCESS 87ca7cf8   SessionId: 0   Cid: 0cb0     Peb: 7ffd8000   ParentCid: 03c4

     DirBase: 3f13d000   ObjectTable: e2d11b78   HandleCount:   99.

     Image: windbg.exe

Handle table at e4702000 with 99 Entries in use

0004: Object: e1008730   GrantedAccess: 000f0003 Entry: e4702008

Object: e1008730   Type: (89bddad0) KeyedEvent

     ObjectHeader: e1008718 (old version)

         HandleCount: 48   PointerCount: 49

         Directory Object: e1000270   Name: CritSecOutOfMemoryEvent

0008: Object: e1858030   GrantedAccess: 00000003 Entry: e4702010

Object: e1858030   Type: (89c153b0) Directory

......

对比一下,成功,我们已经找到了句柄值为0004的内核对象。

OK,冒出了句柄值,那么句柄值是如何被关联起来呢?想下0004,它对应_HANDLE_TABLE_ENTRY表项的低几个啊?

句柄值为0x0000代表是NULL,刚好_HANDLE_TABLE_ENTRY的第0个表项为无效值

句柄值为0x0004有效,刚好指的是_HANDLE_TABLE_ENTRY的第1个表项。

那句柄值为0x0008了?

原来句柄值总是4的倍数。值/4就代表句柄表项数组_HANDLE_TABLE_ENTRY的索引啊。

这时,句柄值的低两位永远是0啦,为啥呢?是4的倍数,第2为不就为0?自己算算。

0x00,0x04,0x08,0x10,0x14等等的二进制

既然第2位永远为0,那么微软就利用了这两位做一个标志位,用来指示当前句柄值所代表的内核对象到那个表项数组中找到?

什么意思呢?

句柄表实际上是分级的,分3级,我们可以像理解分页一样。

分页分为:页目录、页表、物理页。

每个页目录保存1024个页表,每个页表保存着1024个物理页,每个页为4k。

句柄表可以这样分:

4K的目录,保存1K个表指针(指针为一项,占4个字节吗,总共是1024个项)。

每个4K的表,保存着1K个_HANDLE_TABLE_ENTRY数组指针。

每个4K的_HANDLE_TABLE_ENTRY数组保存着512个_HANDLE_TABLE_ENTRY,咋是512个?因为每一个_HANDLE_TABLE_ENTRY是8个字节。

每个_HANDLE_TABLE_ENTRY指向真正的内核对象前的对象头。(第1个表项除外,代表空。)

哈哈,句柄表就这么简单,就是太多繁琐的东西。记不住。

记下笔记备忘之。

这两天试着写写访问句柄表信息的小驱动。写完后配合代码和WRK再整理。

rongwenbin
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
对String的深入理解
12-21
引用变量与对象的区别; 字符串文字"abc"是一个String对象; 文字池[pool of literal strings]和堆[heap]中的字符串对象。 一、引用变量与对象:除了一些早期的Java书籍和现在的垃圾书籍,人们都可以从中比较清楚地学习到两者的区别。A aa;语句声明一个类A的引用变量aa[我常常称之为句柄],而对象一般通过new创建。所以题目中s仅仅是一个引用变量,它不是对象。[ref 句柄、引用与对象] 二、Java中所有的字符串文字[字符串常量]都是一个String的对象。有人[特别是C程序员]在一些场合喜欢把字符串"当作/看成"字符数组,这也没有办法,因为字符串与字符数组存在一些内在的联系。事实上,它与字符数组是两种完全不同的对象。
精品教程 MATLAB程序设计教程 MATLAB与高等数学 第10章 MATLAB图形句柄(共13页).ppt
11-01
【课程简介】 本课程适合所有对MATLAB感兴趣的同学,通过本课程,你将学习到如何使用MATLAB,让你深入了解MATLAB的强大。 【完整课程列】 MATLAB程序设计教程 MATLAB与高等数学 MATLAB与科学计算(共166页).ppt MATLAB程序设计教程 MATLAB与高等数学 第01章 MATLAB操作基础(共33页).ppt MATLAB程序设计教程 MATLAB与高等数学 第02章 MATLAB矩阵及其运算(共78页).ppt MATLAB程序设计教程 MATLAB与高等数学 第03章 MATLAB程序设计(共48页).ppt MATLAB程序设计教程 MATLAB与高等数学 第04章 MATLAB文件操作(共12页).ppt MATLAB程序设计教程 MATLAB与高等数学 第05章 MATLAB绘图(共63页).ppt MATLAB程序设计教程 MATLAB与高等数学 第06章 MATLAB数据分析与多项式计算(共36页).ppt MATLAB程序设计教程 MATLAB与高等数学 第07章 MATLAB解方程与函数极值(共28页).ppt MATLAB程序设计教程 MATLAB与高等数学 第08章 MATLAB数值积分与微分(共14页).ppt MATLAB程序设计教程 MATLAB与高等数学 第09章 MATLAB符号计算(共23页).ppt MATLAB程序设计教程 MATLAB与高等数学 第10章 MATLAB图形句柄(共13页).ppt MATLAB程序设计教程 MATLAB与高等数学 第11章 MATLAB图形用户界面设计(共18页).ppt MATLAB程序设计教程 MATLAB与高等数学 第12章 Simulink动态仿真集成环境(共33页).ppt MATLAB程序设计教程 MATLAB与高等数学 第13章 在Word环境下使用MATLAB(共18页).ppt
Node.js的进程管理的深入理解
01-02
众所周知Node基于V8,而在V8中JavaScript是单线程运行的,这里的单线程不是指Node启动的时候就只有一个线程,而是说运行JavaScript代码是在单线程上,Node还有其他线程,比如进行异步IO操作的IO线程。这种单线程模型带来的好处就是系统调度过程中不会频繁进行上下文切换,提升了单核CPU的利用率。 但是这种做法有个缺陷,就是我们无法利用服务器CPU多核的性能,一个Node进程只能利用一个CPU。而且单线程模式下一旦代码崩溃就是整个程序崩溃。通常解决方案就是使用Node的cluster模块,通过master-worker模式启用多个进程实例。下面我们详细讲述下,Node如何使
C++指针及句柄
11-11
C++指针及句柄,深入理解 指针的奥秘 .
《windows内核情景分析》句柄句柄
strongxu的专栏
10-10 841
    每个进程都有个句柄,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄   第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄中的一个项     项的第一项Object指向某个对象的头部,而该项在句柄中的位置则取
用户句柄的遍历
Mikasys的博客
10-20 529
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 762
0
驱动-句柄
chengtoreal的博客
03-13 515
句柄 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象 句柄存在的目的是为了避免在应用层直接修改内核对象 只有进程才有句柄句柄保存了进程中打开或创建的内核对象 关闭句柄后,会在句柄中删除对应的项值,并将内核对象引用计数+1 进程关闭后,会清空句柄,将内核对象引用计数-1 句柄的值都是4的整数倍,所以将句柄的值/4得到索引,再在句柄中找对应值得到实际内核对象地址 因句柄值是8字节,一个页4KB,句柄在512个以内是在一个页上,如果超过512个,句柄标会更改结
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 5907
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1714
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
EPROCESS 进程/线程优先级 句柄 GDT LDT 页 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 672
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
Win10遍历句柄+修改权限过Callback保护
xlaomlng的博客
05-26 3032
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
关于句柄的一些文章
ProgrammingRing的专栏
08-09 1562
wrk1.2中 ExpLookupHandleTableEntry的内部流程 1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置0 2) 取 HandleTable->NextHandleNeedingPool为MaxHandle ,    如果 tHandle大于等于MaxHandle,则返回NULL,查询失败    (由此可见, Next
windbg 学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
rongwenbin的专栏
02-25 2284
想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 , 很多时候感觉学东西的确是这样 暂时看不懂的先放着 过段时间再看回来就恍然大悟了 . 我前段时间又看了下核编的第三章 唯一的收获就是能够大概了解到 hanle 这个所谓的索引的作
私有句柄
qq_29176323的博客
04-11 547
私有句柄是操作系统内部的一种数据结构,用于存储一个进程所拥有的句柄(或称为句柄对象)的信息。在操作系统中,句柄是一个标识符,用于唯一标识一个对象,例如文件、套接字、管道等等。GPT是这样说的,
c语言table和code,【C语言】期末总结C_code
weixin_34026053的博客
05-20 177
又到期末了,啪啪啪写起了代码。。。#include "stdio.h"#include "math.h"#include "ctype.h"#include "string.h"#include "stdlib.h"#include "time.h"/*************************符号常量**************************/#define PI 3.14159...
内核-句柄
weixin_45012273的博客
03-06 982
私有句柄 属于一个程序独有的 每个程序都有属于自己程序的句柄 里面存储了所有本程序打开的内核对象 内核对象 进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象 为什么需要句柄??? 句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄 每个进程都有自己的这样的私有的 这个存储在0环 而你的进程里创建几个句柄 中就用几项 而句柄则.
定位HandleTableEntry(Windows内核学习笔记)
KOOKNUT的博客
04-07 930
通过HandleTable定位HandleTableEntry的方法: typedef union _EXHANDLE { struct { ULONG_PTR TagBits:2;//这两位为0 ULONG_PTR Index:29;//句柄的索引 }; struct { ULONG_PTR...
win10 x64全局句柄
weixin_41725706的博客
12-05 469
x64全局句柄
深入掌握c++智能指针
最新发布
07-29
智能指针是C++中的一种特殊类型的指针,它能够自动管理内存的释放,避免了手动释放内存的繁琐和容易出错的问题。C++11引入了几种智能指针,包括带引用计数的智能指针和不带引用计数的智能指针,如auto_ptr, scoped_ptr, unique_ptr, shared_ptr, weak_ptr等。\[1\] 带引用计数的智能指针(shared_ptr)使用引用计数来跟踪指针的引用次数,当引用计数为0时,自动释放内存。这种智能指针适用于多个指针共享同一块内存的情况,可以避免内存泄漏和悬挂指针的问题。 不带引用计数的智能指针(unique_ptr)则采用了独占所有权的方式,确保每个指针只能指向一个对象。当指针超出作用域或被显式释放时,内存会被自动释放。这种智能指针适用于需要独占资源的情况,如动态分配的内存、文件句柄等。 自己实现智能指针可以通过重载指针操作符和使用引用计数等技术来实现。但需要注意的是,自己实现智能指针需要考虑线程安全性和异常安全性等问题,确保指针的正确释放和资源的正确管理。 然而,需要注意的是,智能指针并不能解决所有的问题。例如,当存在循环引用时,带引用计数的智能指针(shared_ptr)可能导致内存泄漏。此外,使用智能指针时也需要注意避免裸指针和智能指针混用的情况,以免出现悬挂指针或重复释放内存的问题。\[2\]\[3\] 总之,深入掌握C++智能指针需要了解各种智能指针的原理、用法和适用场景,并注意使用智能指针的注意事项,以确保代码的正确性和安全性。 #### 引用[.reference_title] - *1* *2* [【C++】深入掌握智能指针](https://blog.csdn.net/weixin_45853856/article/details/121184992)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [722-深入掌握C++智能指针](https://blog.csdn.net/LINZEYU666/article/details/120982178)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值