《Windows核心编程》第3章——深入理解handle

本文借助windbg来理解程序中的函数如何使用handle对句柄表进行查询的。所以先要开启Win7下Windbg的内和调试功能。

• 解决win7下内核调试的问题

win7下debug默认无法进行内核调试（！process等命令无法使用），除非是双机调试。或改用livekd进行调试。

尝试http://blog.csdn.net/hutao1101175783/article/details/50522767中提出的方法，开启windbg的内和调试功能：

重启之后开启Local Kernel Debugging：

开启成功：

加载符号表之后，就可以使用！process命令了：

• 解决windbg源码调试的问题：

添加源文件路径：

开启源码级别的调试：

给TestHandle.exe的main函数下断点：

运行后自动弹出源码调试：

• 研究句柄

再开一个windbg用内核调试。！process 0 0 命令找到TestHandle.exe的信息：

查看这个进程的所有句柄信息（同时也显示出了OBJECT的信息，来给我们提供验证）：

下面，借助对TestHandle.exe的调试我们知道38号句柄是hEvent：

查看0x38号句柄的信息（这个信息被我当做“结果”来验证我的“推理”过程）：

• 推理步骤

查看TestHandle的EProcess结构：

得到TableCode，这个值指向一级、二级或三级句柄表（具体是几级句柄表由末尾数决定）:

根据低两位判断句柄表的层级。TableCode低位是1，说明是一个二级句柄表（可以参考这个文章的分析：https://www.cnblogs.com/lsh123/p/7296423.html）：

 

这里显示了两个一级句柄表。

不同级别的句柄表可以参考文章：https://www.2cto.com/kf/201609/543902.html

和图：

那么句柄值乘以4再加上fffff8a0`19ca8000就是指向对应的handle_table_entry：//为什么这里要乘以4？句柄是0x38，索引就是0x38/4，又由于每个handle_table_entry的大小是16字节。那么为什么索引是0x38/4?后面会回答

找到对应的handle_table_entry：

其中fffffa80`11399951 就是Object指针，偏移0x30-1就可以定位到OBJECT：

因为是在64位系统下，所以偏移是0x30-1，偏移发生了变化（32位系统下就是0x17）：

这样就通过句柄取到了内核对象，整个流程思路参考了：http://www.cppblog.com/sleepwom/archive/2011/10/19/72591.html

并参考了图片：

• handle的类型

在WinNT.h中定义的handle是这样的：

typedef void* handle；

而DECLARE_HANDLE(HWND);就是：

　　struct HWND__ { int unused;};

　　typedef struct HWND__ *HWND;

所以DECLARE_HANDLE的作用就是将name定义为一个指向结构体的指针。

handle是一个无类型指针，而HWND是一个指向结构体的指针。

Handle是一个void存储着一个整形数据类型作为“伪索引”。

参考：https://www.cnblogs.com/zpcdbky/p/4656449.html

http://cache.baiducontent.com/c?m=9f65cb4a8c8507ed4fece7631046893b4c4380143fd3d1027fa3c215cc79051a0071e4cf6678475886d27b135bfc1541baae6b272a4266e4dd93d957deb0902f248b2631701c844213d719a9c84524c627935ee3aa04f3ffad72c5a1888083020d9d44050bc2b4d60156&p=c449ca5f86cc41ac52a5d02d021494&newp=81798f16d9c111a058ee9e124f43c9231610db2151d4d2116b82c825d7331b001c3bbfb423251007d7c07d6304aa4858eff6357033092ba3dda5c91d9fb4c57479&user=baidu&fm=sc&query=handle+pvoid&qid=b9f8680100001e9b&p1=5

 

• 为什么要除以4？

如果要根据句柄查找相应的handle_table_entry，就会调用这个函数：

ExMapHandleToPointer ( __in PHANDLE_TABLE HandleTable, __in HANDLE Handle )

这里的handle就是我们本例中传入的0x38。ExMapHandleToPointer 中又会调用ExpLookupHandleTableEntry。

在使用句柄去查找进程的句柄表时会调用函数ExpLookupHandleTableEntry，其原型如下：

参数 HandleTable 是查找目标所在的 Handle table 地址，而 tHandle 是结构化的 Handle 值。参考：http://www.mamicode.com/info-detail-1539980.html

handle与exhandle的关系如下：

这个 tHandle 结构将 Handle 值分为几个部分，如下图所示：

这个 TagBit 值占两位（bit 0 到 bit 1），被清为 0 值。因此：tHandle.Value 值就是对齐在 4 bytes 边界上。（出于某种原因）使用高30位作为索引来查找句柄表，低两位的存在没有意义。参考：https://www.cnblogs.com/ck1020/p/5897460.html

现在低两位没有意义不代表将来低两位没有意义，handle的含义和使用可能在未来发生变化。