文章目录

私有句柄表
- 1.什么是句柄（内核对象）
- 2.为什么要有句柄？
- Windows设计理念：
- 3.句柄表在哪？
全局句柄表
注意

私有句柄表

1.什么是句柄（内核对象）

当一个进程创建或者打开一个内核对象时，将获得一个句柄，通过这个句柄可以访问内核对象
（注意：这里所说的句柄往往对应一个内核对象，调用窗口相关的函数时，也会得到所谓的句柄，但是那种句柄和这里所说的句柄是两回事，这里所说的句柄一定对应一个内核对象，而且这个内核对象其实也就是一个结构体，在0环才能够进行读写的。并非普通窗口，笔刷，字体等对象的句柄，这种对象我们通常称为用户对象，并非内核对象）
如:
HANDLE g_hMutex=::CreateMutex(NULL，FALSE,“XYZ”)
HANDLE g_hMutex=::OpenMutex(MUTEX_ALL_ACCESS，FALSE,“XYZ”)
HANDLE g_hEvent=::CreateEvent(NULL，TRUE，FALSE，NULL)
HANDLE g_hThread=::CreateThread(NULL，0，NULL，0，NULL)

2.为什么要有句柄？

句柄存在的目的是为了避免在应用层直接修改内核对象
HANDLE g_hEvent=::CreateEvent(NULL，TRUE，FALSE，NULL)
如果g_hEvent存储的就是EVENT内核对象的地址，那么就意味着我们可以在应用层修改这个地址，一旦指向了无效的内核内存地址就会蓝屏

如果我们在3环访问一个无效地址，那么最多也就是程序退出。

Windows设计理念：

1.隐藏内核对象指针
2.句柄就是个索引
（每个进程都有一个的表，用来存放进程创建或者打开（Open并不会创建新的内核对象，而是直接返回这个内核对象的地址，然后在表中创建一个索引值）的内核对象的句柄值，）
然后把这个在0环创建的句柄表中的索引值，返回给3环去使用。

3.句柄表在哪？

dt _EPROCESS
+0x0c4 ObjectTable :_HANDLE_TABLE

dt _HANDLE_TABLE
+0x000 TableCode (句柄表地址)
+0x004 QuotaProcess
+0x008 UniqueProcessId
+0x00c HandleTableLock
+0x01c HandleTableList

实际测试：

运行结果

找到当前进程EPROCESS中的_HANDLE_TABLE

然后查看TableCode

684是个索引，需要用684/4=1A1（因为是以4为单位的（为了这个函数保证在其它情况下能用）），但句柄表里的句柄成员每个是8字节，

算法也就是 0xe1cf6000+1A1*8

如下图，转换为8个字节为一组的句柄表值

（因为是使用打开的方式并非使用创建的方式，所以内核对象都是同一个，所以地址都一样）
下面接下来解释一下，3环的函数对句柄表中表项的操作

（1）这一块共两个字节，低字节保留位恒为0，高字节是给SetHandleInformation这个函数用的，比如写成函数SetHandleInformation（Handle，HANDLE_FLAG_PROTECT_FROM_CLOSE，HANDLE_FLAG_PROTECT_FROM_CLOSE），那么这个位置将会被写入0x02；
HANDLE_FLAG_PROTECT_FROM_CLOSE宏的值为0x00000002，取最低字节，最终（1）这块是0x0200

（2）这块是访问掩码，是给OpenProcess这个函数用的
OpenProcess（dwDesiredAccess，BInheritHandle，dwProcessId）；具体的存的就是这个函数的第一个参数的值

（3）和（4）这两块共计四个字节，其中bit0-bit2存的是这个句柄的属性，其中bit2 bit0 默认为0,1；bit1表示的函数是该句柄是否可继承；OpenProcess的第二个参数与bit1有关；
bit31-bit3则是存放的该内核对象在内核中的具体的地址

真正的内核对象都是以OBJECT_HEADER开头的，也就是说，以前我们所看到的EPROCESS，ETHREAD都不是完整的内核对象，而是需要再加0x18的OBJECT_HEADER的头

句柄表中指向的内核进程对象（即EPROCESS）的值，把低三位清掉，即0x86050d48，这个地址指向的是有0x18的OBJECT_HEADER头的EPROCESS内核对象。因为程序中是OpenProcess，所以是EPROCESS内核对象

0x174偏移是进程名，毫无疑问，正确

提示：利用句柄表可以做出反调试，扫描全部进程的句柄表，观察句柄表中是否有指向此进程的EPROCESS内核对象的地址，有的话那就说明此进程被打开（正在被调试。。）

全局句柄表

1.所有的进程和线程无论是否打开，都在这个表中。
2.每个进程和线程都有一个唯一的编号：PID和CID，这两个值其实就是全局句柄表中的索引，

进程和线程得到查询，主要是以下三个函数，按照给定的PID和CID从PspCidTable从查找响应的进线程对象：

PsLookupProcessThreadByCid（）
PsLookupProcessProcessId（）
PsLookupThreadByThreadId（）

句柄表结构

如果为1级句柄表的话，那么TableCode低2位为0（（4KB）个数最多512个）

如果为2级句柄表的话，那么TableCode低2位为1（第一级存储的都是一个地址，也就是第一级可以存储1024个地址，第二级存储真正句柄信息，也就是可以存1024X512个）

如果为3级句柄表的话，那么TableCode低2位为2（第一级存储的都是一个地址，第二级存储的都是一个地址，第三级存储真正句柄信息，句柄数量也就是1024X1024X512个）

首先通过全局变量PspCidTable查找全局句柄表

然后通过_HANDLE_TABLE查看

找到了TableCode后直接进入

然后假如PID是1044
那么1044/4=261,索引也就是261，转换成16进制后是0x105
然后0x105乘以8

值为0x86201781，去掉低3位为0x86201780，它直接指向了EPROCESS，没有OBJECT_HEADER头结构

注意

全局句柄表和私有句柄表有差异，私有句柄表中指向的是带有OBJECT_HEADER头的内核对象，但是全局句柄表中指向的并没有带OBJECT_HEADER头