本节内容 全局句柄表 视频提供:昆山爱达人信息技术有限公司 官网地址:www.bcdaren.com 联系QQ:1250121864 QQ交流群 :49759272 联系电话:0512-57882866
要点回顾 在进程中可以创建、打开很多内核对象,这些内核对象的地址都存储在当前进程的句柄表中。我们在应用层得到的句柄实际上就是句柄表的索引。 进程的句柄表是私有的,每个进程都有一个自己的句柄表。除此之外,系统还有一个全局句柄表:PsdCidTable
1、全局句柄表 1) 所有的进程和线程无论无论是否打开,都在这个表中。 2) 每个进程和线程都有一个唯一的编号:PID和CID 这两个值其实就是全局句柄表中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessId() PsLookupThreadByThreadId()
2、全局句柄表结构 TableCode TableCode TableCode TableCode低2位为0 TableCode低2位为1 TableCode低2位为2
3、实验:观察句柄表 通过PID的值,在PspCidTable中找到内核对象.
昆山爱达人信息技术有限公司 www.bcdaren.com QQ:1250121864 课后练习: <线上班>学员可见