《windows内核情景分析》句柄和句柄表

最新推荐文章于 2021-10-20 13:42:27 发布
最新推荐文章于 2021-10-20 13:42:27 发布
阅读量865 收藏
点赞数
分类专栏: windows内核 文章标签: windows table 数据结构 system object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strongxu/article/details/4650847
版权

    每个进程都有个句柄表,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄表

  第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄表中的一个表项

    表项的第一项Object指向某个对象的头部,而该表项在句柄表中的位置则取决于句柄的值。

    在Windows内核中句柄表是个三维稀疏数组。HANDLE_TABLE_ENTRY大小为8个字节,由2个32bit组成。如果第一个32bit值不为0,那么第一个32bit就可以转换成一个指向对象头的指针。HANDLE_TABLE_ENTRY第一个32bit的最高位用作标志。当把一个HANDLE_TABLE_ENTRY第一个32bit转换成对象头的指针时,需要把低3bit设为0,最高位设为1。

    每当创建或者打开了一个对象,要为之创建句柄并将其插入句柄表的时候,就为其准备一个临时的HANDLE_TABLE_ENTRY数据结构,使其

指向这个对象的头部,然后通过ExCreateHandle()将其安装到句柄表中

    ObpKernelHandleTable是ntdll中的一个全局变量,指向系统初始进程SYSTEM的句柄表

   PsInitialSystemProcess是一个全局变量,类型为EPROCESS,为系统初始进程SYSTEM

strongxu
关注
专栏目录
内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-05 839
每个有效的句柄都对应着句柄中的一个项,项在句柄中的位置取决于句柄的值。每当进程创建或者打开一个对象,要为之创建句柄并将其插入句柄的时候,需要一个临时的HANDLE_TABLE_ENTRY数据结构,用ExCreateHandle将其安装到句柄中,而该函数返回句柄句柄的值明了安装的位置,也是目标项在句柄中的下标。
内核对象(Windows内核学习笔记)
KOOKNUT的博客
04-07 450
对象,是一个特殊的数据结构,用来定义受保护得实体,我们平时所说得对象实际上是对象体,例如进程对象,就是EPROCESS。所以内核对象不能直接被用户层进行操作,那我们只能通过句柄句柄是一个指向对象得指针。对象具有唯一性,但是句柄可以有多个,也就是说一个对象可以有多个句柄来引用它,对它进行操作。用来管理命名对象的东西,叫做对象目录,对象目录我在后面会做介绍。
windows 句柄句柄
博客
07-05 827
句柄句柄
进程句柄与创建句柄
weixin_34250434的博客
08-12 185
  我们编写Windows程序中经常使用到内核对象,特别是句柄这个概念,通过句柄可以对内核对象进行访问,那句柄到底是什么?本文将会从内核来说明这个概念。 Windows采取了面向对象设计,内核中有一个的模块来管理内核对象,有很多资料都是说是“对象管理器”,本文也采用这个概念。对象管理器用来管理内核对象信息和记录内核对象的使用情况,包括引用计数。 每个进程都要创建一个句柄,这些句柄指向各种...
windows内核句柄学习
bcbobo21cn的专栏
04-04 361
Windows定义了很多内核对象:进程对象、线程对象、互斥量对象、信号量对象、事件对象、文件对象等等。在调用相应的函数创建这些对象后,我们都可以通过HANDLE类型的句柄来引用它们。 句柄必须通过句柄才能找到所引用的内核对象。 Microsoft并未就句柄发布过任何官方的文档。 通过windows公布的WRK(windows research kernel)源代码,可以了解windows句柄。虽然是基于WRK的,不能保证其他版本的windows系统也采用相同的机制,但是或许都是大同小异的。 win
句柄
04-21 325
1.什么是内核对象 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这些结构体由内核负责管理。我们管这样的对象叫做内核对象。 红色部分就是内核层对应的结构体。 2.如何管理内核对象 3.每个进程都有一个句柄 、 4.多进程共享一个内核对象 5.代码演示 6.句柄是否可以被继承 继承了能有什么影响? 7.句柄是否“允许”被继承 ...
25.句柄
qq_35129925的博客
07-21 604
32位参考:https://blog.csdn.net/Kwansy/article/details/109801722 64位一级句柄
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
Windows内核情景分析(上册).part01.rar 基本信息 作者: 毛德操 出版社:电子工业出版社 ISBN:9787121081149 上架时间:2009-5-25 出版日期:2009 年5月 开本:16开 页码:1465 版次:1-1 所属分类:计算机 > ...
Linux内核剖析-----IO复用函数epoll内核源码剖析
Eunice_fan1207的博客
08-16 2569
本文参考董浩博客http://donghao.org/uii/ epoll内核实现 (1)内核为epoll做准备工作 这个模块在内核初始化时(操作系统启动)注册了一个新的文件系统,叫"eventpollfs"(在eventpoll_fs_type结构里),然后挂载此文件系统。另外还创建两个内核cache(在内核编程中,如果需要频繁分配小块内存,应该创建kmem_ca...
多线程:C#线程同步lock,Monitor,Mutex,同步事件和等待句柄
ct的专栏
11-26 1533
<br />转帖地址:<br />http://www.cnblogs.com/freshman0216/archive/2008/07/27/1252253.html<br />http://www.cnblogs.com/freshman0216/archive/2008/07/30/1252345.html<br />http://www.cnblogs.com/freshman0216/archive/2008/08/07/1256919.html<br /> <br />本篇从Monitor,Mu
用户句柄的遍历
Mikasys的博客
10-20 597
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
关于句柄的一些文章
ProgrammingRing的专栏
08-09 1594
wrk1.2中 ExpLookupHandleTableEntry的内部流程 1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置0 2) 取 HandleTable->NextHandleNeedingPool为MaxHandle ,    如果 tHandle大于等于MaxHandle,则返回NULL,查询失败    (由此可见, Next
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6221
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
测试
qq_18557657的博客
10-29 90
typedef struct _HANDLE_TABLE_ENTRY { union { PVOID Object;//内核对象指针。 ULONG ObAttributes;//内核对象属性。 PHANDLE_TABLE_ENTRY_INFO InfoTable;// ULONG_PTR Val...
Windows 进程的句柄
qiaoli的知识备忘录
03-12 2370
本文源自《Windows内核原理与实现》第3章Windows 进程和线程 3.4.1 Windows 进程的句柄(1) 上一章介绍了Windows 内核中的对象管理器,Windows 执行体实现了一套对象机制来管理各种资源或实体。每种对象都有一个类型对象,类型对象定义了该类对象的一些特性和方法。对象管理器也定义了一个全局名字空间,提供了根据名称来解析对象的统一机制(参考O
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1508
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄就用ObpKernelHandleTable,用户态的话就用当前进程的句柄 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 557
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
关于进程间的访问权限等进程间控制资料收集
tomorrowsprogress的专栏
01-05 931
http://www.vckbase.com/DUPLICATEHANDLE函数可以实现将同步内核对象被拷贝并且将原内核对象关闭, 从而达到可以自由控制内核对象的目的, 这可以实现使得只能单一启用的进程成为多启用的进程的目的。实现方法:只要用钩子WH_GETMESSAGE挂钩并实现如下代码即可LRESULT HookProc(int code, WPARAM wParam, LPA
ark笔记
kernweak的博客
07-03 4113
ark相关技术是关于进程检测,杀进程,线程检测,杀线程,怎么检测模块,隐藏dll等。还有驱动模块怎么检测,怎么卸载别人的驱动。SSDT,shadowSSDT,FSD相关。 进程 进程枚举 R3枚举进程 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS)/Process32First/Process32Next,建一个快照,然后去遍历 ZwQueryS...
句柄分析驱动的Windows Rootkit检测技术研究:有效性验证
他们的方法主要依赖于句柄分析,这是一种内核级的技术,它涉及系统中进程管理的核心部分——句柄句柄是操作系统用于引用和管理各种系统资源(如内存、文件、设备等)的关键数据结构。通过遍历内核句柄,研究...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值