25.句柄表

已于 2022-03-16 20:48:48 修改
阅读量693 收藏 2
点赞数
分类专栏: 滴水中级 文章标签: c语言
于 2021-07-21 16:32:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35129925/article/details/118969914
版权

在这里插入图片描述
32位参考:https://blog.youkuaiyun.com/Kwansy/article/details/109801722

一、内核对象,句柄

这次课讨论的内核对象是指创建时需要指定 LPSECURITY_ATTRIBUTES 参数的对象,例如 Mutex, Thread。

调用 CreateThread 等函数会返回一个 HANDLE 类型值,这种就叫句柄,它对应一个内核对象;

调用 CloseHandle 函数对某个内核对象计数减一,当内核对象计数为0,这个对象就被销毁了。

内核对象在内核存储,直接把地址给3环用很不安全,所以微软设计了句柄(HANDLE)给3环使用,句柄是一个整数,它的值除以4是句柄表的下标,通过下标能找到存储在句柄表里的句柄表项,每个占8字节。

二、句柄表,句柄表项

1.句柄表结构

句柄表存储在 EPROCESS.ObjectTable.TableCode 里:

kd> dt _ePROCESS fffffa801adab060
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x160 ProcessLock      : _EX_PUSH_LOCK
   +0x168 CreateTime       : _LARGE_INTEGER 0x01d77e09`56302ac0
   +0x170 ExitTime         : _LARGE_INTEGER 0x0
   +0x178 RundownProtect   : _EX_RUNDOWN_REF
   +0x180 UniqueProcessId  : 0x00000000`00000be4 Void
   +0x188 ActiveProcessLinks : _LIST_ENTRY [ 0xfffff800`0402bb90 - 0xfffffa80`1ac42cb8 ]
   +0x198 ProcessQuotaUsage : [2] 0x3c10
   +0x1a8 ProcessQuotaPeak : [2] 0x3df0
   +0x1b8 CommitCharge     : 0x6a3
   +0x1c0 QuotaBlock       : 0xfffffa80`1a37f400 _EPROCESS_QUOTA_BLOCK
   +0x1c8 CpuQuotaBlock    : (null) 
   +0x1d0 PeakVirtualSize  : 0x8fc2000
   +0x1d8 VirtualSize      : 0x7bfe000
   +0x1e0 SessionProcessLinks : _LIST_ENTRY [ 0xfffff880`0526a010 - 0xfffffa80`1ac4a580 ]
   +0x1f0 DebugPort        : (null) 
   +0x1f8 ExceptionPortData : 0xfffffa80`1a2c5730 Void
   +0x1f8 ExceptionPortValue : 0xfffffa80`1a2c5730
   +0x1f8 ExceptionPortState : 0y000
   +0x200 ObjectTable      : 0xfffff8a0`010b3c50 _HANDLE_TABLE     !!在这里
   +0x208 Token            : _EX_FAST_REF
   +0x210 WorkingSetPage   : 0x73cbe
   +0x218 AddressCreationLock : _EX_PUSH_LOCK


((ntdll!_HANDLE_TABLE *)0xfffff8a0010b3c50)                 : 0xfffff8a0010b3c50 [Type: _HANDLE_TABLE *]
    [+0x000] TableCode        : 0xfffff8a0015b5000 []2位代表几级句柄表
    [+0x008] QuotaProcess     : 0xfffffa801adab060 [Type: _EPROCESS *]   当前进程结构体
    [+0x010] UniqueProcessId  : 0xbe4 [Type: void *]   进程ID
    [+0x018] HandleLock       [Type: _EX_PUSH_LOCK]   
    [+0x020] HandleTableList  [Type: _LIST_ENTRY]
    [+0x030] HandleContentionEvent [Type: _EX_PUSH_LOCK]
    [+0x038] DebugInfo        : 0x0 [Type: _HANDLE_TRACE_DEBUG_INFO *]
    [+0x040] ExtraInfoPages   : 0 [Type: long]
    [+0x044] Flags            : 0x0 [Type: unsigned long]
    [+0x044 ( 0: 0)] StrictFIFO       : 0x0 [Type: unsigned char]
    [+0x048] FirstFreeHandle  : 0x248 [Type: unsigned long]
    [+0x050] LastFreeHandleEntry : 0xfffff8a0015b5ff0 [Type: _HANDLE_TABLE_ENTRY *]
    [+0x058] HandleCount      : 0x90 [Type: unsigned long]  句柄数量
    [+0x05c] NextHandleNeedingPool : 0x400 [Type: unsigned long]    //分配下一层句柄表之前可以容纳的最大句柄的值
    [+0x060] HandleCountHighWatermark : 0x94 [Type: unsigned long]

特别留意 TableCode 的第2位,它表明了句柄表的结构,如果第2位是01,表示现在句柄表有两级, TableCode 指向的表存储了 4KB / 4 = 1024 个句柄表的地址,每个地址指向一个句柄表。
特别留意 TableCode 的第2位,它表明了句柄表的结构,如果低两位是0,则一级表大小4096/16= 256,如果低两位是01,表示现在句柄表有两级, TableCode 指向的表存储了 4096/8256个句柄表的地址,每个地址指向一个句柄表。如果低两位是02,则存储 4096/84096/8*256

举个例子
先用一层表举例子()

1: kd> dq 0xfffff8a0015b5000 l14
fffff8a0`015b5000  00000000`00000000 fffff8a0`fffffffe
fffff8a0`015b5010  fffff8a0`0155b8b1 00000000`00000009
fffff8a0`015b5020  fffff8a0`02e979b1 00000000`00000003
fffff8a0`015b5030  fffffa80`1a3684a1 00000000`00100020
fffff8a0`015b5040  fffffa80`1ad22531 00000000`00100020
fffff8a0`015b5050  fffffa80`1a6efc81 00000000`00100020
fffff8a0`015b5060  fffffa80`18e96e31 00000000`001f0001
fffff8a0`015b5070  fffff8a0`00c05f71 00000000`00020019
fffff8a0`015b5080  fffff8a0`00eea1d1 00000000`00000001
fffff8a0`015b5090  fffffa80`1ada24e1 00000000`021f0003

![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/d230820f8dba0b5ad3e7f0f97fca37b6.png#pic_center在这里插入图片描述

由图可知,句柄表内结构是这样

struct handle
{
	LONG64 Objress //对象低三位为属性,需要清空,另外需要补上_OBJECT_HEADER的大小
	LONG64 属性
}

但是肉眼看的可以看见对象地址和ARK地址是不一致的,主要原因是属性位和_OBJECT_HEADER的原因
句柄表内:1.对象低三位为属性,需要清空
2.所有对象前面都有一个_OBJECT_HEADER结构,而句柄结构在这个结构的后面,64位下这个结构大小为0X30

nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int8B
   +0x008 HandleCount      : Int8B
   +0x008 NextToFree       : Ptr64 Void
   +0x010 Lock             : _EX_PUSH_LOCK
   +0x018 TypeIndex        : UChar
   +0x019 TraceFlags       : UChar
   +0x019 DbgRefTrace      : Pos 0, 1 Bit
   +0x019 DbgTracePermanent : Pos 1, 1 Bit
   +0x01a InfoMask         : UChar
   +0x01b Flags            : UChar         // 0x71; //进程退出
   +0x01b NewObject        : Pos 0, 1 Bit
   +0x01b KernelObject     : Pos 1, 1 Bit
   +0x01b KernelOnlyAccess : Pos 2, 1 Bit
   +0x01b ExclusiveObject  : Pos 3, 1 Bit
   +0x01b PermanentObject  : Pos 4, 1 Bit
   +0x01b DefaultSecurityQuota : Pos 5, 1 Bit
   +0x01b SingleHandleEntry : Pos 6, 1 Bit
   +0x01b DeletedInline    : Pos 7, 1 Bit
   +0x01c Reserved         : Uint4B
   +0x020 ObjectCreateInfo : Ptr64 _OBJECT_CREATE_INFORMATION
   +0x020 QuotaBlockCharged : Ptr64 Void
   +0x028 SecurityDescriptor : Ptr64 Void
   +0x030 Body             : _QUAD            //句柄的对象在这个位置

FFFFFA801A449603 & FFFFFFFFFFFFFFF8 + 0X30 = 0XFFFF FA80 1A44 9630
现在WINDBG的对象就和ARK一致了,windbg访问对象结构也没问题了
dt _eprocess 0XFFFF FA801A44963

二、查看一个二级句柄表
现在进程大多数是一级和二级句柄表,拿个二级表举个例子

在这里插入图片描述
在这里插入图片描述
让我们来找找这个句柄吧 0x468

句柄是需要/4的,0x468/4取值,如果小于0x100就在第一张表,0x100<值<0x200就在第二张表,依次类推
0x468/4=11A,
11A-0X100=1A,
可知该句柄在第二张表的1A位置
公式:第二张表地址1A0x10=句柄对象结构

//和ARK工具一致,差0x30还是_OBJECT_HEADER结构问题,前面已经解释了
3: kd> dq fffff8a0`01e0e000+1a*10
fffff8a0`01e0e1a0  fffffa80`1a5ea411 00000000`00100020 
fffff8a0`01e0e1b0  fffffa80`1a490161 00000000`00000804
fffff8a0`01e0e1c0  fffffa80`194df771 00000000`00000804
fffff8a0`01e0e1d0  fffffa80`194df6b1 00000000`00000804
fffff8a0`01e0e1e0  fffffa80`194df5f1 00000000`00000804
fffff8a0`01e0e1f0  fffffa80`194df531 00000000`00000804
fffff8a0`01e0e200  fffffa80`194df471 00000000`00000804
fffff8a0`01e0e210  fffffa80`1a97f431 00000000`00100003

我们看到fffffa80`1a5ea411 最后一个字节为1,其实最后三位是属性位,使用时需要清0
那么我们看看这三位代表什么吧
在这里插入图片描述

至此,已经知道句柄表的寻找方式了,那么取到的对象可以来查看这些信息
首先是查看句柄对象的信息,用到这个结构体

3: kd> dt _object_header fffffa80`1a5ea410 //第三位要清0,上面讲了
nt!_OBJECT_HEADER
   +0x000 PointerCount     : 0n1
   +0x008 HandleCount      : 0n1
   +0x008 NextToFree       : 0x00000000`00000001 Void
   +0x010 Lock             : _EX_PUSH_LOCK
   +0x018 TypeIndex        : 0x1c ''          //和ARK一致为28    因为加密了所以不做参考,下节课有解密讲解
   +0x019 TraceFlags       : 0 ''
   +0x01a InfoMask         : 0xc ''
   +0x01b Flags            : 0x40 '@'
   +0x020 ObjectCreateInfo : 0xfffffa80`1a374040 _OBJECT_CREATE_INFORMATION
   +0x020 QuotaBlockCharged : 0xfffffa80`1a374040 Void
   +0x028 SecurityDescriptor : (null) 
   +0x030 Body             : _QUAD

下面看看句柄的权限结构信息,和遍历句柄号一样

3: kd> dt _handle_table_entry fffff8a0`01e0e000+1a*10
ntdll!_HANDLE_TABLE_ENTRY
   +0x000 Object           : 0xfffffa80`1a5ea411 Void
   +0x000 ObAttributes     : 0x1a5ea411
   +0x000 InfoTable        : 0xfffffa80`1a5ea411 _HANDLE_TABLE_ENTRY_INFO
   +0x000 Value            : 0xfffffa80`1a5ea411
   +0x008 GrantedAccess    : 0x100020
   +0x008 GrantedAccessIndex : 0x20
   +0x00a CreatorBackTraceIndex : 0x10
   +0x008 NextFreeTableEntry : 0x100020


dt _eprocess fffffa80`1a5ea410+30
枚举内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-14 970
前面我写过有关内核句柄的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
句柄及全局句柄
Harlan的博客
09-01 3451
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
复习句柄(笔记)
weixin_30451709的博客
03-06 136
今天复习了下2K和XP/2003下的句柄结构,深入理解了X86下的分页机制后,再回顾这些东西就觉得非常简单了 2K: 2K下采用三层结构,上层256个项,每个项占用4字节 对应一个中层的地址,每个中层256项,每个项占用4字节对应一个下层地址,每个下层256项,每个项占用8字节(每个项就是HANDLE_TABLE_ENTRY)。 因此 每个进程支持256*256*2...
句柄
04-21 356
1.什么是内核对象 像进程、线程、文件、互斥体、事件等在内核都有一个对应的结构体,这些结构体由内核负责管理。我们管这样的对象叫做内核对象。 红色部分就是内核层对应的结构体。 2.如何管理内核对象 3.每个进程都有一个句柄 、 4.多进程共享一个内核对象 5.代码演示 6.句柄是否可以被继承 继承了能有什么影响? 7.句柄是否“允许”被继承 ...
1.句柄
My classmates
10-28 450
什么是句柄(内核对象) 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如: HANDLE g_hMutex =::CreateMutex(NULL,FALSE, &amp;amp;amp;quot;XYZ&amp;amp;amp;quot;); HANDLE g_hMutex =::OpenMutex(MUTEX ALL ACCESS, FALSE, &amp;amp;amp;quot;XYZ&amp;amp;amp;quot;
MATLAB编程快速入门 MATLAB编程基础入门教程 第9章 句柄图形 共25.pdf
12-17
在MATLAB编程中,句柄图形是图形用户界面(GUI)设计和高级图形操作的核心概念。这一章主要介绍了MATLAB图形系统、对象句柄、对象属性的检测与更改、以及相关的应用示例,帮助初学者快速掌握句柄图形的使用。 首先,...
Linux下查看进程打开的文件句柄数和如何修改方法
09-15
00:24:25 /usr/sbin/mysqld ``` 这明进程ID为24204的进程是MySQL服务进程。 #### 五、调整文件句柄数限制 如果发现某个进程打开的文件句柄数接近系统默认的最大值1024,那么就需要调整此限制了。在Linux中,...
W25qxx(STM32 SPI HAL库).rar
06-20
这包括`W25QXXTypeDef`结构体,它可能包含SPI接口的句柄和其他必要的状态信息。此外,头文件还定义了错误代码枚举,如`W25QXX_StatusTypeDef`,用于报告驱动程序执行时的状态,比如成功、繁忙或错误。函数声明如`...
句柄(私有句柄
Z875983491的专栏
10-30 1075
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄(私有句柄)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
01句柄
qq_50242229的博客
05-11 120
当一个进程创建或者打开一个内核对象的时候,将获得一个句柄,通过这个句柄可以访问内核对象句柄存在的目的是为了避免在应用层直接修改内核对象句柄是私有的,每个进程一个。
win32—句柄
怪味巧克力的博客
04-30 418
1.句柄 1.什么是内核对象? ​ 像进程,线程,文件,互斥体,事件等在内核都有一个对应的结构体,这些结构体有内核负责管理。我们管这样的对象叫做内核对象 2.每个进程都有一个句柄 如何管理进程呢?那么这个时候就出现了句柄。原因在于,不能让用户层直接访问内核层,一旦用户修改内核层面的,那么就出问题了,所以这个时候引入了句柄,起到一个索引的作用,换句话说,句柄就好比一道防火墙,隔离了用户...
2.全局句柄
My classmates
10-28 610
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局句柄中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
分析句柄
maomao171314的专栏
01-31 324
一、什么是句柄 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象。 如:CreateMutex、CreateEvent 、CreateThread 等函数就会返回一个HANDLE类行值,这种就叫句柄,对应着一个内核对象。 调用CloseHandle 函数对应某个内核对象计数减一,当内核对象计数为0,这个对象就被销毁了。 内核对象在内核存储,直接把地址给3环用很不安全,所以微软设计了句柄(HANDLE)给3环使用,句柄是一个整数,它的值除以4是句柄的下标,通过下标能
Windows句柄学习笔记 —— 句柄&全局句柄
lzyddf的博客
03-19 4188
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
深入理解句柄
rongwenbin的专栏
02-26 3784
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
MATLAB教程:掌握二维图形绘制与句柄操作技巧
y = [1 4 9 16 25]; plot(x, y); % 绘制一个抛物线图形 ``` #### 2. line函数 `line()`函数用于在图形窗口中绘制线条。与`plot()`不同的是,`line()`允许更细致的控制线条的属性,比如线条颜色、线型和宽度等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值