[转载]谈谈进程句柄表

进程句柄表解析
最新推荐文章于 2025-12-06 18:15:59 发布
转载 最新推荐文章于 2025-12-06 18:15:59 发布 · 627 阅读 · 0
文章标签:

#object #file #windows #table #数据库 #exe

[转载]谈谈进程句柄表

信息来源:cvc
文章作者:pjf

Windows有许多种类的句柄,其中比较有趣的是内核对象(进程、
线程、文件、事件、互斥量等)的句柄。此HANDLE值仅仅是句柄表的
一个索引值。下面讨论一下进程句柄表相关结构以及一个应用例子:
向一个正运行程序的文件Write。
  一、Windows98、WindowsNT(NT未验证):句柄表的格式为一个DWORD
指明大小,后跟若干项,每项两DWORD:内核对象指针与标志掩码。
98上的例子:PHT Address = 0x8162C628
        Flag=0        Handle=0
        Flag=0x1F0FFF    Handle=0x8162C5E4
        ......
顺便说一句,第一项未用,第二项即为该进程句柄。0x8162C5E4即是
该进程数据库地址。
  二、Windows 2000:为了防止拷贝费时,Windows2000用一个三
级表来寻找对应项。(就可以在扩充时只用分配新内存而无需拷贝原
来各项。)
  1、首先,EPROCESS中的ObjectHandle指向表头:
         struct _OBJECT_TABLE{
              ULONG Unkown1;//总为0
              ULONG HandleCount;//所有有效项数
              PVOID PAT;//最高级指针
              PEPROCESS ThisProcess;
              ULONG Unknown2;
              ULONG Unknown3;
              ULONG TotalCount;//纪录第三级表分配的内存
                         //可容多少项
              LIST_ENTRY link;
               ......//??上面的名字随便取的
              }_HANDLE_TABLE;
例子:00 00 00 00 27 00 00 00-00 D0 3B E1 20 24 85 FE
    04 02 00 00 00 1E 00 00-00 01 00 00 00 F3 CE FE
    68 DD 87 FE 00 00 00 00-00 00 00 00 00 00 00 00
                 ......
  2、上面的PAT就是一个指针数组,有256项,每项指向中级表PMT
例子:00 D4 3B E1 00 00 00 00-00 00 00 00 00 00 00 00
                 ......
  3、PMT与PAT类似,指向次级表PLT。
例子:00 D8 3B E1 00 00 00 00-00 00 00 00 00 00 00 00
                 ......
  4、PLT中每项8字节,其中第一个DWORD为内核对象的指针稍加修改,
第二项也是标志掩码。
    第一个表项未用,总为00 00 00 00 01 00 00 00,最后以项初
始化为00 00 00 00 FF FF FF FF,表结束。

例子:00 00 00 00 01 00 00 00-58 42 2D 61 1F 00 0F 00
    48 3F F4 7E 03 00 10 00-E8 F0 C4 7E 03 00 10 00
                  ......
    00 00 00 00 31 00 00 00-00 00 00 00 32 00 00 00
                  ......
    00 00 00 00 FF 00 00 00-00 00 00 00 FF FF FF FF

每项格式很清楚(见InsideWindows2000),内核对象头可由第一个DWORD
与0x80000000相或(低三位清为0)。内核对象头开始两DWORD为句柄计数
与引用计数等等,对象头偏移0x18处(未查过所有对象类型)即为实际的
内核对象。

   正在运行的程序对应的EXE文件你不能往里写东西,现在就对句柄表
和它指向的内核对象修改来实现这一点:
   用GENERIC_READ打开文件,此时不能写。传句柄给驱动,驱动找到
掩码与内核对象,改之,就可在此程序中对那个EXE肆意修改。
2000驱动片断(运行没错就草草了事了):
      PETHREAD PEThread=0;
PEPROCESS PEProcess=0;
PHANDLE_TABLE PHTable;
PFILE_OBJECT file;
ULONG index;
UCHAR pointer1,pointer2,pointer3;
switch( ControlCode)
{
case IOCTL_******:
_asm cli
PEThread=(PETHREAD)(ULONG)Irp->Tail.Overlay.Thread;
PEProcess=(PEPROCESS)PEThread->ThreadsProcess;
PHTable=PEProcess->ObjectTable;
index=((PULONG)Irp->AssociatedIrp.SystemBuffer)[0];
pointer3=(UCHAR)(index&0x000000FF);
pointer2=(UCHAR)((index&0x0000FF00)>>8);
pointer1=(UCHAR)((index&0x00FF0000)>>16);
file=(PFILE_OBJECT)((PULONG)PHTable)[2];
file=(PFILE_OBJECT)((PULONG)file)[pointer1];
file=(PFILE_OBJECT)((PULONG)file)[pointer2];
((PULONG)file)[pointer3/2+1]=0x0012019f;//可写的掩码
file=(PFILE_OBJECT)((PULONG)file)[pointer3/2];
file=(PFILE_OBJECT)((ULONG)file|0x80000000);
file=(PFILE_OBJECT)((ULONG)file+0x18);
file->WriteAccess=TRUE;//这可以不改
_asm sti
           ......

9x中简单多了,首先找出异或码可由进程ID得出进程数据库,再得出句柄表基址,就可访问,就在ring3即可,略了。对于Hume发的那个贴,你仔细在9x上由句柄表得出的“对象”中分析,但未必有收获,9x这方面远不及nt。
REST 与 RPC 的区别
Spring Boot-Common On With You
12-10 1569
                                                   《 REST 与  RPC 的区别 》     前言 为什么写这篇文章,前段时间一位同学问到这个问题,介绍了个大致,回头后又去网上自我补充了哈,但是总是感觉不是那么完美,于是此篇文章便产生了,如果有不到之处欢迎指正。   关于 RPC (远程过程调用协议) 一、RPC 简介 ...
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8594
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符。 这个
内核遍历进程中所有的线程
radicwei的专栏
08-09 3773
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针. _KPROCESS 结构体的内容为: _KTHREAD 结构体的内容为:    如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta
通过句柄遍历进程
HuErr的专栏
06-05 1096
进程线程这块都被人玩滥了......都是些过时了的东西,做为新手,我还是拿来耍耍。 #include #include //结构体是根据windbg查看得出来的。 typedef struct _HANDLE_TABLE { ULONG_PTR TableCode; PEPROCESS QuotaProcess; PVOID UniqueProces
驱动层进程和线程操作
qq_41490873的博客
08-25 2176
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
内核对象句柄
MessCodes
06-27 1710
转自:点击打开链接 一、什么是内核对象        在Windows中,为了简化对资源的访问,统一采用HANDLE来示各种各样的资源(如内存块、映射文件、Mutex、Semophore等等)在内存中的存放方式(一种数据结构),我们称之为对象。该数据结构中存放的是要访问的资源的相关信息,包括实际资源内容在内存中的地址、该数据结构(对象)引用计数以及安全属性等等。凡是在函数参数列
windows核心编程系列》三谈谈内核对象及句柄的本质
热门推荐
ithzhang
08-29 1万+
2012、8、29 http://blog.youkuaiyun.com/ithzhang/article/details/7920204转载请注明出处!                              内核对象     本章讨论的是相对抽象的概念,不涉及任何具体的内核对象的细节而是讨论所有内核对象的共有特性。 首先让我们来了解一下什么是内核对象。内核对象通过API来创建,每个内核对象是
Windows下如何创建低权限进程
顺其自然~专栏
07-28 1155
在使用Sysinternals出品的 Process Explorer 过程中,对 “Run as Limited User” 功能的实现方式颇感兴趣,一番搜寻之下发现Mark大神在《Running as Limited User – the Easy Way》中对该功能的实现做了相关的阐述: use the CreateRestrictedToken API to create a security context, called a token, that’s a stripped-down v..
windows核心编程系列》四谈谈进程的建立和终止
ithzhang
08-31 1万+
http://blog.youkuaiyun.com/ithzhang/article/details/7927682转载请注明出处! 第二部分:工作机理 第一章:进程 上一章介绍了内核对象,这一节开始就要不断接触各种内核对象了。首先要给大家介绍的是进程内核对象。进程大家都不陌生,它是资源和分配的基本单位,而进程内核对象就是与进程相关联的一个数据结构。操作系统内核通过它管理进
.NET(C#):谈谈各种结束进程的方法
diben1401的博客
12-23 441
目录 .NET程序员应该懂的: Process类的CloseMainWindow, Kill, Close Environment类的Exit和FailFast WPF的Shutdown和Windows Forms的Exit .NET程序员不需要懂的(为了对得起这标题,把它们加进来……) 非托管的ExitProcess和TerminateProce...
句柄的概念
weixin_34321977的博客
03-18 245
1.这里将句柄所能标识的所有东西(如窗口、文件、画笔等)统称为“对象”。 2.图中一个小横框示一定大小的内存区域,并不代一个字节,如标有0X00000AC6的横框示4个字节。 程序运行到某时刻的内存快照 程序往后运行到另一时刻时的内存快照 Windows是一个以虚拟内存为基础的操作系统,很多时候,进程的代码和数据并不全部装入内存,进程的某一段装...
Delphi多线程详解
weixin_30555753的博客
07-18 1140
(整理自网络) Delphi多线程处理 1-1多线程的基本概念 WIN 98/NT/2000/XP 是个多任务操作系统,也就是:一个进程可以划分为多个线程,每个线程轮流占用CPU 运行时间和资源,或者说,把CPU 时间划成片,每个片分给不同的线程,这样,每个线程轮流的“挂起”和“唤醒”,由于时间片很小,给人的感觉是同时运行的。 多线程带来如下好处:(自己阅读) ...
高性能网络编程总结及《TCP/IP Sockets编程(C语言实现) (第2版)》 代码下载(链接以及文件打包)
benpaobagzb的博客
03-01 9537
http://blog.youkuaiyun.com/column/details/high-perf-network.html http://blog.youkuaiyun.com/russell_tao/article/details/9111769 高性能网络编程(一)----accept建立连接 最近在部门内做了个高性能网络编程的培训,近日整理了下PPT,欲写成一系列文章从应用角度谈谈它。
腾讯MIG实习技术成长日记集
晓风残月xj
08-21 2975
有幸在这样一家国内顶级的互联网公司实习,由于在校期间主要时间都投在ACM上,对于windows编程比较生疏,工作方面职位为PC客户端开发,所以职场导师推荐了基本专业书籍,在完成自己的任务之余,我把时间放在慢慢咀嚼这些经典书籍上。由于相关积累有限,故有些地方怕达不当,所以以摘抄经典为主。在此说明,由于工作原因,有些技术需要保密,程序代码就不提供了,具体做些什么就不宜多说了。实习很快结束了,在这两个多月里真的很愉快,学到很多在学校学不到的东西,只是马上快开学了,得回学校继续自己的学习生活。由衷的感谢实习期间帮
【C++】map和set的使用
weixin_59251911的博客
12-02 821
本文主要介绍C++中的map和set
二叉树的层序遍历:4道例题讲解
最新发布
wxy963的博客
12-06 552
429. N 叉树的层序遍历 - 力扣(LeetCode)先来看这道题:因为层序遍历的本质是按 “层” 的顺序处理节点:先处理第 1 层(根节点),再处理第 2 层(根的所有子节点),接着处理第 3 层(第 2 层每个节点的子节点)…… 而队列的特性是 “先进先出”,刚好能匹配这种 “按顺序处理、按顺序传递下一层节点” 的逻辑:由于队列本身是 “连续的节点”。 那么我们在处理的过程中很可能出现下面这种情况: 当前层节点还没处理完时,下一层节点已经在往队列里加了。 如果我们不记录 “当前层有多少个节点”,那么
【Linux驱动开发】Linux虚拟文件系统(VFS)技术架构深度解析
love131452098的博客
12-02 654
Linux的VFS是一个内核软件层,用来处理所有与文件系统相关的系统调用。它为用户空间程序提供了统一的文件操作接口。
C++ -- STL【list的模拟实现】
2301_80059080的博客
12-03 744
本文详细介绍了C++中list容器的实现原理和核心功能。list基于双向循环链实现,包含节点结构体_list_node和迭代器类_list_iterator。重点内容包括: 迭代器实现、构造与销毁、容量操作、访问操作、修改操作。文章还讨论了模板的按需实例化特性,并提供了完整的list实现源码。整个实现体现了list作为链结构的特性,包括不连续存储、双向遍历等。
C# 调用 DLL为什么不像 C/C++调用 DLL 时需要lib库
luohaitao的专栏
11-30 745
C#调用DLL机制与C/C++存在本质差异:C#基于托管代码和运行时动态绑定,无需.lib文件,仅需DLL即可完成调用。关键区别在于C#完全绕过了C/C++的静态链接流程,通过两种方式实现:调用托管DLL时利用内置元数据替代头文件和.lib;调用非托管DLL时通过DllImport实现运行时动态绑定。而C/C++必须在编译期通过.lib解析符号,否则会报链接错误。在C#项目中"添加引用"时只显示托管DLL,因为VS知道C#不需要处理原生.lib文件。唯一可能接触.lib的情况是使用C++
谈谈进程管理的理解
03-21
<think>嗯,用户让我谈谈进程管理的理解。首先,我得明确进程管理在操作系统中的角色。进程是程序执行的实例,对吧?那操作系统怎么管理这些进程呢?可能需要从进程的创建、调度、同步、通信和终止这几个方面入手。 进程的生命周期应该包括创建、就绪、运行、阻塞和终止这些状态。用户可能想知道进程是怎么在这些状态之间转换的,比如通过什么事件触发状态变化。比如,当进程等待I/O操作时,会从运行态转到阻塞态,完成后再回到就绪态。 然后是进程调度,这部分可能涉及调度算法。比如先来先服务、短作业优先、轮转调度、优先级调度这些。需要解释每种算法的优缺点,以及适用场景。比如实时系统可能用优先级调度,而交互式系统可能用轮转调度保证响应时间。 进程同步和通信也很重要。多个进程访问共享资源时会出现竞争条件,所以需要同步机制,比如信号量、互斥锁。进程间通信的方式有管道、消息队列、共享内存、套接字等。这些机制的区别和适用情况可能需要说明。 还有进程控制块(PCB),它是操作系统管理进程的关键数据结构,存储进程的状态、寄存器、PID等信息。用户可能对PCB的作用不太清楚,需要解释清楚。 可能还需要提到多道程序设计如何提高CPU利用率,以及现代操作系统中的多线程和进程的关系。比如线程是轻量级的进程,共享同一进程的资源,但调度更高效。 用户可能对进程和程序的区别有疑问,所以应该明确进程是动态的执行过程,而程序是静态的代码。此外,守护进程、僵尸进程、孤儿进程这些概念也可能需要简要说明。 最后,要确保结构清晰,分点回答,用例子帮助理解,比如用生产者-消费者问题说明同步机制。同时注意使用正确的中文术语和LaTeX格式,比如调度算法名称用$...$包裹,独立公式如状态转换图用$$...$$。</think>### 对进程管理的理解(分步骤说明) #### 一、进程的定义与核心概念 1. **进程的本质** 进程是**程序的一次执行实例**,包含代码、数据、堆栈、寄存器状态和系统资源(如打开的文件)。 - 与程序的区别:程序是静态的代码文件,进程是动态的执行实体(例如:$程序=菜谱$,$进程=按菜谱烹饪的过程$)。 2. **进程控制块(PCB)** 操作系统通过**PCB(Process Control Block)** 管理进程,存储以下信息: - 进程ID(PID) - 进程状态(运行/就绪/阻塞等) - 程序计数器(PC) - CPU寄存器值 - 内存分配 - I/O状态 #### 二、进程生命周期与状态转换 1. **进程的5种基本状态** - **新建(New)**:进程被创建 - **就绪(Ready)**:等待CPU分配 - **运行(Running)**:占用CPU执行 - **阻塞(Blocked)**:等待I/O等事件 - **终止(Terminated)**:执行结束 2. **状态转换示例** $$ \text{新建} \xrightarrow{\text{分配资源}} \text{就绪} \xrightarrow{\text{调度}} \text{运行} \xrightarrow{\text{I/O请求}} \text{阻塞} \xrightarrow{\text{事件完成}} \text{就绪} $$ #### 三、进程调度算法 1. **调度目标** 提高CPU利用率、减少响应时间、保证公平性。 2. **经典算法对比** | 算法类型 | 特点 | 公式示例(平均等待时间) | |------------------|-------------------------------|--------------------------| | 先来先服务(FCFS) | 非抢占,适合长作业 | $W_{\text{avg}} = \frac{\sum (完成时间 - 到达时间)}{n}$ | | 短作业优先(SJF) | 最小化平均等待时间 | 通过预测作业长度排序 | | 时间片轮转(RR) | 公平性高,适合交互式系统 | 时间片大小影响吞吐量 | #### 四、进程同步与通信 1. **同步问题示例:生产者-消费者** - **问题描述**:共享缓冲区需互斥访问 - **解决方案**:使用信号量(Semaphore) ``` semaphore mutex = 1; // 互斥锁 semaphore empty = N; // 空缓冲区数量 semaphore full = 0; // 满缓冲区数量 ``` 2. **进程通信(IPC)方式** - **共享内存**:高速但需同步 - **消息传递**:通过系统调用(如管道、Socket) - **远程过程调用(RPC)**:跨网络通信 #### 五、现代扩展与挑战 1. **线程与进程的关系** - 线程是轻量级进程,共享同一进程的资源(如内存空间)。 - 多线程提高并发性,但需处理线程安全问题(例如:$竞态条件$)。 2. **容器化技术的影响** 容器(如Docker)通过**命名空间(Namespace)** 和**控制组(Cgroup)** 实现进程隔离,优化资源管理。 --- ### 总结 进程管理是操作系统的核心功能,需协调: 1. 资源分配(CPU、内存) 2. 状态监控与调度 3. 同步与通信机制 其设计直接影响系统性能(如吞吐量$T = \frac{\text{完成任务数}}{\text{时间}}$)和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值