1.句柄表

最新推荐文章于 2021-07-21 16:32:52 发布
最新推荐文章于 2021-07-21 16:32:52 发布
阅读量358 收藏 2
点赞数
分类专栏: 句柄表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42052102/article/details/83476572
版权
句柄是进程访问内核对象的机制,防止应用层直接修改内核对象导致错误。每个进程有一张句柄表,记录句柄与内核对象的关系。句柄表的每个成员8字节,由不同部分组成,分别用于权限控制、属性标志和对象地址。OpenProcess和SetHandleInformation等函数会影响句柄表中的信息。
摘要由CSDN通过智能技术生成

什么是句柄(内核对象)

当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。

如:

HANDLE g_hMutex =::CreateMutex(NULL,FALSE, "XYZ");
HANDLE g_hMutex =::OpenMutex(MUTEX ALL ACCESS, FALSE, "XYZ");
HANDLE g_hEvent =::CreateEvent(NULL, TRUE, FALSE, NULL);
HANDLE g_hThread =::CreateTpread(NULL, 0, Proc, NULL, 0, NULL);
...

我们调用一些窗口相关函数的句柄,虽然也是句柄但是和这个是不一样的,这里面的句柄它一定对应一个内核对象

这些内核对象其实也是一个结构体,要在0环才能进行读写。

为什么要有句柄?

句柄存在的目的是为了避免在应用层直接修改内核对象。

HANDLE g hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);

如果 g_hEvent 存储的就是EVENT内核对象的地址,那么就意味着我们可以在应用层修改这个地址,一旦指向了无效的内核内存地址就会蓝屏

在这里插入图片描述

每一个进程都会一张句柄表。
创建的和打开的句柄它在0环对应的内核对象的地址就会存储到这张表中。(创建和打开是不一样的)

如果再次通过OpenEvent来打开,这时系统并不会为这个事件创建一个新的结构体,它有一个计数器打开一次它就加一次。

调用的函数返回值为HANDLE的返回的就是句柄表中对应成员的索引。

句柄表的位置

dt _EPROCESS
...
 +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE
...

kd> dt _HANDLE_TABLE
nt!_HANDLE_TABLE
   +0x000
最低0.47元/天 解锁文章
My classmates
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
句柄及全局句柄
Harlan的博客
09-01 3308
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
复习句柄(笔记)
weixin_30451709的博客
03-06 102
今天复习了下2K和XP/2003下的句柄结构,深入理解了X86下的分页机制后,再回顾这些东西就觉得非常简单了 2K: 2K下采用三层结构,上层256个项,每个项占用4字节 对应一个中层的地址,每个中层有256项,每个项占用4字节对应一个下层地址,每个下层256项,每个项占用8字节(每个项就是HANDLE_TABLE_ENTRY)。 因此 每个进程支持256*256*2...
句柄
qq_41232519的博客
09-13 372
文章目录一、什么是内核对象?二、如何管理内核对象?三、每个进程都有一个句柄四、多进程共享一个内核对象五、句柄是否”可以”被继承 一、什么是内核对象? 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这 些结构体由内核负责管理。我们管这样的对象叫做内核对象。 二、如何管理内核对象? 一个进程可以在创建进程、线程、事件、文件,在内核中也会对应一个内核对象(结构体) 三、每个进程都有一个句柄 正常管理,因该是将内核对象地址返回来,应用层通过地址访问,但是因为内核对象在0,如果将值改了,就会
枚举进程句柄.rar
02-01
这个"枚举进程句柄.rar"文件包含了一个用Delphi编写的示例程序,它展示了如何枚举并查看指定进程中的文件句柄、Mutex(互斥量)以及注册句柄。以下是对这些知识点的详细解释: 1. **进程句柄**:在操作系统中,...
matlab句柄学习.pdf
03-01
- `a = get(h,'DefaultObjectTypePropertyName1',...)`:获取句柄`h`对象指定属性的默认值。 2. **set函数**: - `a = set(h)`:返回句柄`h`指定对象的所有可设置属性名称及其值,值被{}包围的示默认值。 - `...
取注册句柄.rar
03-12
1. **注册结构** Windows的注册主要由五大数据区组成:HKEY_LOCAL_MACHINE (HKLM)、HKEY_CURRENT_USER (HKCU)、HKEY_CLASSES_ROOT (HKCR)、HKEY_USERS (HKU) 和 HKEY_CURRENT_CONFIG (HKCC)。每个区域都有其...
matlab句柄学习.docx
03-01
1. `get(h)`:此函数用于获取句柄`h`所指定图形对象的所有属性名称及其对应的属性值。这可以帮助用户了解对象当前的状态。 2. `a = get(h)`:返回由句柄`h`指定的图形对象的属性结构数组,数组字段对应于对象的属性...
取所有IES句柄.rar
04-07
1. **句柄的概念**: 句柄是操作系统提供的一种机制,它是一个非零的整数值,用于程序间或进程间共享和操作资源。在Windows操作系统中,句柄广泛应用于各种系统对象,如窗口、文件、设备等。每个句柄都是独一无二的...
句柄(私有句柄
Z875983491的专栏
10-30 903
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄(私有句柄)   我们在R3编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
25.句柄
qq_35129925的博客
07-21 556
32位参考:https://blog.csdn.net/Kwansy/article/details/109801722 64位一级句柄
win32—句柄
怪味巧克力的博客
04-30 359
1.句柄 1.什么是内核对象? ​ 像进程,线程,文件,互斥体,事件等在内核都有一个对应的结构体,这些结构体有内核负责管理。我们管这样的对象叫做内核对象 2.每个进程都有一个句柄 如何管理进程呢?那么这个时候就出现了句柄。原因在于,不能让用户层直接访问内核层,一旦用户修改内核层面的,那么就出问题了,所以这个时候引入了句柄,起到一个索引的作用,换句话说,句柄就好比一道防火墙,隔离了用户...
内核对象句柄
xin_wu_hen的专栏
07-07 2496
一、什么是内核对象       在Windows中,为了简化对资源的访问,统一采用HANDLE来示各种各样的资源(如内存块、映射文件、Mutex、Semophore等等)在内存中的存放方式(一种数据结构),我们称之为对象。该数据结构中存放的是要访问的资源的相关信息,包括实际资源
2.全局句柄
My classmates
10-28 541
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局句柄中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
分析句柄
maomao171314的专栏
01-31 250
一、什么是句柄 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如:CreateMutex、CreateEvent 、CreateThread 等函数就会返回一个HANDLE类行值,这种就叫句柄,对应着一个内核对象。 调用CloseHandle 函数对应某个内核对象计数减一,当内核对象计数为0,这个对象就被销毁了。 内核对象在内核存储,直接把地址给3用很不安全,所以微软设计了句柄(HANDLE)给3使用,句柄是一个整数,它的值除以4是句柄的下标,通过下标能
Windows句柄学习笔记 —— 句柄&全局句柄
qq_41988448的博客
03-19 3329
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
哈希的处理句柄含义
最新发布
12-05
根据提供的引用内容,没有明确说明“哈希的处理句柄含义”这个问题。但是可以解释一下哈希中的处理句柄的概念。 在哈希中,处理句柄通常是指一个指向哈希中某个元素的指针或引用。通过处理句柄,我们可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值