执行体对象位于系统空间,用户空间通过句柄来引用。
句柄是进程范围内的对象引用。
句柄实际是一个索引,指向进程句柄表中的一个表项。
EPROCESS->ObjectTable
第一个是4,第二个是8......
句柄表示一个多层次结构。
ObjectTable类型为HANDLE_TABLE,句柄结构为HANDLE_TABLE_ENTRY。
对于一个句柄,其生命周期从被插入句柄表开始,到被关闭,此过程中,对象的引用计数中包含有句柄的一份引用。
此外还有一个CID(Client ID handle table)句柄表,用于生成PID和TID,PID和TID实际是该句柄表中的索引。
HANDLE_TABLE
typedef struct _HANDLE_TABLE
{
ULONG TableCode; //指向句柄表存储结构
PEPROCESS QuotaProcess; //句柄表的内存资源所在进程
PVOID UniqueProcessId; //创建者PID
EX_PUSH_LOCK HandleLock; //句柄表锁,句柄表扩展时使用
LIST_ENTRY HandleTableList; //所有句柄表形成一个链表,表头HandleTableListHead
EX_PUSH_LOCK HandleContentionEvent; //访问句柄时发生竞争,在此等待
PHANDLE_TRACE_DEBUG_INFO DebugInfo; //调试信息
LONG ExtraInfoPages; //审计信息占有的页面数量
ULONG Flags; //标志域
ULONG StrictFIFO: 1; //是否使用FIFO风格的重用
LONG FirstFreeHandle; //空闲链表表头的句柄索引
PHANDLE_TABLE_ENTRY LastFreeHandleEntry; //最近被释放的句柄索引
LONG HandleCount; //句柄表项数量
ULONG NextHandleNeedingPool; //下一次句柄表扩展的句柄表项索引
} HANDLE_TABLE, *PHANDLE_TABLE;TableCode
指向句柄表最高层表项页面。低两位代表当前句柄表层数。若为0,表示只有一层。
每个最底层句柄表页面中,第一个表项有特殊用途。
FirstFree
当前句柄表中所有空闲句柄的组成一个链表,这个链不通过地址链接,通过句柄索引值链接。该域指示链表头的索引值。
HANDLE_TABLE_ENTRY
typedef struct _HANDLE_TABLE_ENTRY
{
union
{
PVOID Object; //指向句柄所代表对象,第三位有特殊含义
ULONG ObAttributes; //
PHANDLE_TABLE_ENTRY_INFO InfoTable; //指向各个句柄表页面的第一个表项
ULONG Value; //
};
union
{
ULONG GrantedAccess; //访问掩码
struct
{
WORD GrantedAccessIndex;
WORD CreatorBackTraceIndex;
};
LONG NextFreeTableEntry; //该表项空闲时,保持下一个空闲表项的索引
};
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;Object
- 第0位:锁标志
- 第1位:子进程是否继承该句柄
- 第2位:关闭该对象是否产生审计事件
每个最底层句柄表页面
第一个句柄表项的NextFreeTableEntry成员等于-2。
InfoTable成员指向一张HANDLE_TABLE_ENTRY_INFO表,该表每一项都是审计掩码
句柄->内核对象
句柄有4种可能:
- -1:当前进程
- -2:当前线程
- 负值:绝对值为内核句柄表中的索引,仅内核模式函数使用
- 小于2^26的正值:索引
内核句柄表指系统空间的全局句柄表。即System进程的句柄表。
欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。
2119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
