句柄表及全局句柄表

最新推荐文章于 2025-05-21 08:05:02 发布
原创 最新推荐文章于 2025-05-21 08:05:02 发布 · 3.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Windows系统中句柄表的结构,包括访问掩码、属性和内核对象地址等关键信息,并通过实例解析了如何获取和使用句柄。同时,文章还探讨了全局句柄表的概念,指出每个进程和线程在全局句柄表中都有唯一标识,并列举了用于查询进程和线程的相关函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

句柄表结构

 

1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02;

HANDLE_FLAG_PROTECT_FROM_CLOSE 宏的值为0x00000002,取最低字节,最终1这块是0x0200,

 

2.这块是访问掩码,是给OpenProcess 这个函数用的OpenProcess(dwDesiredAcess,bInheritHandle,dwProcessId);具体的存的就是这个函数的第一个参数的值

 

3和4这两块共四个字节,其中bit0-bit2 存的是这个句柄的属性,其中bit2 bit0默认为0,1;bit1 表示的函数是该句柄是否可继承;OpenProcess的第二个参数与bit1有关;

bit31-bit3则是存放的该内核对象在内核中的具体的地址

 

最低0.47元/天 解锁文章

200万优质内容无限畅学
深入探究 C++ 程序中的资源泄漏问题(GDI对象泄漏、进程句柄泄漏与内存泄漏)
dvlinker的技术专栏
10-07 3万+
深入探究C++编程中GDI对象泄漏、句柄泄漏和内存泄漏问题,以及这些泄漏问题的排查方法。
2.全局句柄
My classmates
10-28 615
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局句柄中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
句柄(私有句柄
Z875983491的专栏
10-30 1095
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄(私有句柄)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
全局句柄
最新发布
m0_68259687的博客
05-21 733
在windbg中,我们可以来通过命令寻找全局句柄的名字然后我们可以dd一下,拿到它的位置已知句柄的结构是。
句柄
qq_41232519的博客
09-13 456
文章目录一、什么是内核对象?二、如何管理内核对象?三、每个进程都有一个句柄四、多进程共享一个内核对象五、句柄是否”可以”被继承 一、什么是内核对象? 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这 些结构体由内核负责管理。我们管这样的对象叫做内核对象。 二、如何管理内核对象? 一个进程可以在创建进程、线程、事件、文件,在内核中也会对应一个内核对象(结构体) 三、每个进程都有一个句柄 正常管理,因该是将内核对象地址返回来,应用层通过地址访问,但是因为内核对象在0环,如果将值改了,就会
全局句柄 —— 遍历全局句柄
walker的博客
03-16 1752
简介 进程句柄是私有的,每个进程都有自己的进程句柄。除此之外,系统还有一个全局句柄全局变量 PspCidTable 指向该全局句柄存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局句柄中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程的遍历。 EnumPspCidTab
Windows句柄学习笔记 —— 句柄&全局句柄
lzyddf的博客
03-19 4261
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
滴水线程创建句柄课上代码
07-26
4. 错误处理和资源管理:讨论如何处理创建线程或管理句柄时可能出现的错误,以及在程序结束时正确关闭和释放线程及句柄资源的方法。 5. 并发与同步:可能涉及线程之间的同步机制,如互斥量、信号量、事件对象等,...
vb-获取外部EXE句柄_vb获取SSCOM5程序的控件句柄_
10-02
在VB中,我们需要定义一个全局的`EnumChildProc`回调函数,并通过`AddressOf`关键字指定它的地址。然后调用`EnumChildWindows`,传入顶级窗口句柄和回调函数指针。示例如下: ```vb Private EnumChildProc As Long ...
复习句柄(笔记)
weixin_30451709的博客
03-06 143
今天复习了下2K和XP/2003下的句柄结构,深入理解了X86下的分页机制后,再回顾这些东西就觉得非常简单了 2K: 2K下采用三层结构,上层256个项,每个项占用4字节 对应一个中层的地址,每个中层有256项,每个项占用4字节对应一个下层地址,每个下层256项,每个项占用8字节(每个项就是HANDLE_TABLE_ENTRY)。 因此 每个进程支持256*256*2...
内核——全局句柄
weixin_48257887的博客
11-04 771
最重要的字段是:TableCode,当这个字段值的低2位,决定了有几层,如果0x9c29c001,低2位是0,就代只有一层,0x9c29c000指向的就是最终的全局句柄,如果0x9c29c001,低2位是1,就代只有两层,0x9c29c000指向下一层,然后下一层才指向最终的全局句柄,那么0x9c29c002同理,可以看到TypeIndex字段的值是0x7,它其实也是一个的索引,这个示这个值是进程还是线程还是其他,我们 dp ObTypeIndexTable。
02 全局句柄
qq_50242229的博客
05-11 163
全局句柄的TableCode 的元素指的就是EPROCESS 或者 ETHREAD 的头了,不再是 _OBJECT_HANDLE。2.每个进程和线程都有一个唯一的编码 : PID和CID 这两个值其实就是全局句柄中的索引。1.所有的进程和线程无论是否打开,都在这个中。
1.句柄
My classmates
10-28 461
什么是句柄(内核对象) 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如: HANDLE g_hMutex =::CreateMutex(NULL,FALSE, "XYZ"); HANDLE g_hMutex =::OpenMutex(MUTEX ALL ACCESS, FALSE, "XYZ"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值