Download presentation
Presentation is loading. Please wait.
1
本节内容 全局句柄表 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
2
要点回顾 在进程中可以创建、打开很多内核对象,这些内核对象的地址都存储在当前进程的句柄表中。我们在应用层得到的句柄实际上就是句柄表的索引。 进程的句柄表是私有的,每个进程都有一个自己的句柄表。除此之外,系统还有一个全局句柄表:PsdCidTable
3
1、全局句柄表 1) 所有的进程和线程无论无论是否打开,都在这个表中。 2) 每个进程和线程都有一个唯一的编号:PID和CID 这两个值其实就是全局句柄表中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessId() PsLookupThreadByThreadId()
4
2、全局句柄表结构 TableCode TableCode TableCode TableCode低2位为0 TableCode低2位为1 TableCode低2位为2
5
3、实验:观察句柄表 通过PID的值,在PspCidTable中找到内核对象.
6
昆山爱达人信息技术有限公司 QQ: 课后练习: <线上班>学员可见
Similar presentations
