私有句柄表

一、什么是句柄

句柄（HANDLE）并不是一个指针，也不是对象地址。

它本质上是：

👉 当前进程句柄表中的一个索引值

示例代码：

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

解释：

• hProcess ≠ EPROCESS*

• hProcess ≠ 内核地址

• hProcess = 句柄表中的一个编号

二、什么是句柄表

句柄表是 Windows 用来管理"对象引用关系"的一张表：用户态拿到的 HANDLE 本质上只是这张表里的一个索引。

EPROCESS
 └── ObjectTable (HANDLE_TABLE)
        ├── Entry[0]
        ├── Entry[1] → OBJECT_HEADER
        ├── Entry[2] → OBJECT_HEADER
        └── Entry[n]

• 每个进程都有自己的句柄表
• HANDLE 只是索引
• 不同进程中相同数值的 HANDLE 含义完全不同
• 句柄是"进程私有"的

三、_HANDLE_TABLE

_HANDLE_TABLE 是 进程句柄表的实体结构

它负责：

• 管理所有 HANDLE

• 分配 / 回收句柄

• 查找 HANDLE → OBJECT

• 维护并发与安全

kd> dt _handle_table
ntdll!_HANDLE_TABLE
   +0x000 TableCode        : Uint4B
   +0x004 QuotaProcess     : Ptr32 _EPROCESS
   +0x008 UniqueProcessId  : Ptr32 Void
   +0x00c HandleLock       : _EX_PUSH_LOCK
   +0x010 HandleTableList  : _LIST_ENTRY
   +0x018 HandleContentionEvent : _EX_PUSH_LOCK
   +0x01c DebugInfo        : Ptr32 _HANDLE_TRACE_DEBUG_INFO
   +0x020 ExtraInfoPages   : Int4B
   +0x024 Flags            : Uint4B
   +0x024 StrictFIFO       : Pos 0, 1 Bit
   +0x028 FirstFreeHandle  : Uint4B
   +0x02c LastFreeHandleEntry : Ptr32 _HANDLE_TABLE_ENTRY
   +0x030 HandleCount      : Uint4B
   +0x034 NextHandleNeedingPool : Uint4B
   +0x038 HandleCountHighWatermark : Uint4B

TableCode ------【句柄表的核心】

含义:
句柄表的"入口指针 + 层级编码"

高位：句柄表地址
低2位：表层级

QuotaProcess

该句柄表所属进程的 EPROCESS

UniqueProcessId

该句柄表所属进程的 PID

HandleLock

句柄表的自旋锁

HandleTableList

所有进程的句柄表挂到一个全局链表中
也就是拿到任意一个进程的句柄表，可以遍历所有进程的句柄表

HandleContentionEvent

当多个线程争抢句柄表锁时
线程在这里等待
避免自旋浪费 CPU

HandleCount

当前进程中 有效句柄数量
会随 CloseHandle 变化

四、句柄表的三级结构

句柄表 是一个**可变层级**的结构：

它可以是 1 层、2 层，或者 3 层。

由 TableCode 的低 2 位决定。

TableCode & 3	含义
0	一级表
1	二级表
2	三级表
3	保留

在 Windows 7 x86 中，有几个关键事实：

项目	数值
页大小	0x1000（4KB）
指针大小	4 字节
HANDLE_TABLE_ENTRY	8 字节
HANDLE 低 2 位	标志位
真实索引	Handle >> 2

4.1 一级句柄表

一页 = 0x1000 字节
每个 Entry = 8 字节
Index = Handle >> 2;
base = TableCode(低2位清零)

容量计算：
0x1000 / 8 = 512 = 0x200
寻址方式
base + Index * 8;

4.2 二级句柄表

当句柄数超过 512，系统会自动升级为二级表。

Index = Handle >> 2;
base = TableCode(低2位清零)

一级索引= Index / 0x200;
二级索引= Index % 0x200;

容量计算：
1024 × 512 = 524288 = 0x80000

4.3 三级句柄表

Index = Handle >> 2;
base = TableCode(低2位清零)

一级索引 = Index / (1024 * 512);
R1 = Index % (1024 * 512);
二级索引 = R1 / 512;
三级索引 = R1 % 512;

容量计算：
1024 × 1024 × 512 = 0x20000000

五、句柄表项（HANDLE_TABLE_ENTRY） ------ 句柄真正的实体

HANDLE_TABLE_ENTRY 是"句柄的本体"

它描述了：

• 这个句柄指向哪个对象

• 拥有什么访问权限

• 是否可继承 / 是否关闭

• 对象是否还有效

• 而 HANDLE 本身，只是访问它的钥匙。