Windows操作系统----进程与线程----句柄

执行体对象位于系统空间,用户空间通过句柄来引用。

句柄是进程范围内的对象引用。

句柄实际是一个索引,指向进程句柄表中的一个表项。

EPROCESS->ObjectTable

第一个是4,第二个是8......

句柄表示一个多层次结构。

ObjectTable类型为HANDLE_TABLE,句柄结构为HANDLE_TABLE_ENTRY。

对于一个句柄,其生命周期从被插入句柄表开始,到被关闭,此过程中,对象的引用计数中包含有句柄的一份引用。

此外还有一个CID(Client ID handle table)句柄表,用于生成PID和TID,PID和TID实际是该句柄表中的索引。

HANDLE_TABLE

typedef struct _HANDLE_TABLE
{
     ULONG TableCode;                      //指向句柄表存储结构
     PEPROCESS QuotaProcess;               //句柄表的内存资源所在进程
     PVOID UniqueProcessId;                //创建者PID
     EX_PUSH_LOCK HandleLock;              //句柄表锁,句柄表扩展时使用
     LIST_ENTRY HandleTableList;           //所有句柄表形成一个链表,表头HandleTableListHead
     EX_PUSH_LOCK HandleContentionEvent;   //访问句柄时发生竞争,在此等待
     PHANDLE_TRACE_DEBUG_INFO DebugInfo;   //调试信息
     LONG ExtraInfoPages;                  //审计信息占有的页面数量
     ULONG Flags;                          //标志域
     ULONG StrictFIFO: 1;                  //是否使用FIFO风格的重用
     LONG FirstFreeHandle;                 //空闲链表表头的句柄索引
     PHANDLE_TABLE_ENTRY LastFreeHandleEntry;          //最近被释放的句柄索引
     LONG HandleCount;                                 //句柄表项数量
     ULONG NextHandleNeedingPool;                      //下一次句柄表扩展的句柄表项索引
} HANDLE_TABLE, *PHANDLE_TABLE;

TableCode

        指向句柄表最高层表项页面。低两位代表当前句柄表层数。若为0,表示只有一层。

        每个最底层句柄表页面中,第一个表项有特殊用途。

FirstFree

        当前句柄表中所有空闲句柄的组成一个链表,这个链不通过地址链接,通过句柄索引值链接。该域指示链表头的索引值。

HANDLE_TABLE_ENTRY

typedef struct _HANDLE_TABLE_ENTRY
{
     union
     {
          PVOID Object;                               //指向句柄所代表对象,第三位有特殊含义
          ULONG ObAttributes;                         //
          PHANDLE_TABLE_ENTRY_INFO InfoTable;         //指向各个句柄表页面的第一个表项
          ULONG Value;                                //
     };
     union
     {
          ULONG GrantedAccess;                        //访问掩码
          struct
          {
               WORD GrantedAccessIndex;
               WORD CreatorBackTraceIndex;
          };
          LONG NextFreeTableEntry;                    //该表项空闲时,保持下一个空闲表项的索引
     };
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

Object

  • 第0位:锁标志
  • 第1位:子进程是否继承该句柄
  • 第2位:关闭该对象是否产生审计事件

每个最底层句柄表页面

        第一个句柄表项的NextFreeTableEntry成员等于-2。

        InfoTable成员指向一张HANDLE_TABLE_ENTRY_INFO表,该表每一项都是审计掩码

句柄->内核对象

句柄有4种可能:

  • -1:当前进程
  • -2:当前线程
  • 负值:绝对值为内核句柄表中的索引,仅内核模式函数使用
  • 小于2^26的正值:索引

内核句柄表指系统空间的全局句柄表。即System进程的句柄表。

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值