一、什么是句柄
句柄(HANDLE)并不是一个指针,也不是对象地址。
它本质上是:
👉 当前进程句柄表中的一个索引值
示例代码:
cpp
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);解释:
-
hProcess ≠ EPROCESS*
-
hProcess ≠ 内核地址
-
hProcess = 句柄表中的一个编号
二、什么是句柄表
句柄表是 Windows 用来管理"对象引用关系"的一张表:用户态拿到的 HANDLE 本质上只是这张表里的一个索引。
cpp
EPROCESS
└── ObjectTable (HANDLE_TABLE)
├── Entry[0]
├── Entry[1] → OBJECT_HEADER
├── Entry[2] → OBJECT_HEADER
└── Entry[n]- 每个进程都有自己的句柄表
- HANDLE 只是索引
- 不同进程中相同数值的 HANDLE 含义完全不同
- 句柄是"进程私有"的
三、_HANDLE_TABLE
_HANDLE_TABLE 是 进程句柄表的实体结构
它负责:
-
管理所有 HANDLE
-
分配 / 回收句柄
-
查找 HANDLE → OBJECT
-
维护并发与安全
bash
kd> dt _handle_table
ntdll!_HANDLE_TABLE
+0x000 TableCode : Uint4B
+0x004 QuotaProcess : Ptr32 _EPROCESS
+0x008 UniqueProcessId : Ptr32 Void
+0x00c HandleLock : _EX_PUSH_LOCK
+0x010 HandleTableList : _LIST_ENTRY
+0x018 HandleContentionEvent : _EX_PUSH_LOCK
+0x01c DebugInfo : Ptr32 _HANDLE_TRACE_DEBUG_INFO
+0x020 ExtraInfoPages : Int4B
+0x024 Flags : Uint4B
+0x024 StrictFIFO : Pos 0, 1 Bit
+0x028 FirstFreeHandle : Uint4B
+0x02c LastFreeHandleEntry : Ptr32 _HANDLE_TABLE_ENTRY
+0x030 HandleCount : Uint4B
+0x034 NextHandleNeedingPool : Uint4B
+0x038 HandleCountHighWatermark : Uint4BTableCode ------【句柄表的核心】
bash
含义:
句柄表的"入口指针 + 层级编码"
高位:句柄表地址
低2位:表层级QuotaProcess
bash
该句柄表所属进程的 EPROCESSUniqueProcessId
bash
该句柄表所属进程的 PIDHandleLock
bash
句柄表的自旋锁HandleTableList
bash
所有进程的句柄表挂到一个全局链表中
也就是拿到任意一个进程的句柄表,可以遍历所有进程的句柄表HandleContentionEvent
bash
当多个线程争抢句柄表锁时
线程在这里等待
避免自旋浪费 CPUHandleCount
bash
当前进程中 有效句柄数量
会随 CloseHandle 变化四、句柄表的三级结构
句柄表 是一个
**可变层级**的结构:它可以是 1 层、2 层,或者 3 层。
由 TableCode 的低 2 位决定。
| TableCode & 3 | 含义 |
|---|---|
| 0 | 一级表 |
| 1 | 二级表 |
| 2 | 三级表 |
| 3 | 保留 |
在 Windows 7 x86 中,有几个关键事实:
| 项目 | 数值 |
|---|---|
| 页大小 | 0x1000(4KB) |
| 指针大小 | 4 字节 |
| HANDLE_TABLE_ENTRY | 8 字节 |
| HANDLE 低 2 位 | 标志位 |
| 真实索引 | Handle >> 2 |
4.1 一级句柄表
bash
一页 = 0x1000 字节
每个 Entry = 8 字节
Index = Handle >> 2;
base = TableCode(低2位清零)
容量计算:
0x1000 / 8 = 512 = 0x200
寻址方式
base + Index * 8;
4.2 二级句柄表
当句柄数超过 512,系统会自动升级为二级表。
bash
Index = Handle >> 2;
base = TableCode(低2位清零)
一级索引= Index / 0x200;
二级索引= Index % 0x200;
容量计算:
1024 × 512 = 524288 = 0x80000
4.3 三级句柄表
bash
Index = Handle >> 2;
base = TableCode(低2位清零)
一级索引 = Index / (1024 * 512);
R1 = Index % (1024 * 512);
二级索引 = R1 / 512;
三级索引 = R1 % 512;
容量计算:
1024 × 1024 × 512 = 0x20000000
五、句柄表项(HANDLE_TABLE_ENTRY) ------ 句柄真正的实体
HANDLE_TABLE_ENTRY 是"句柄的本体"
它描述了:
-
这个句柄指向哪个对象
-
拥有什么访问权限
-
是否可继承 / 是否关闭
-
对象是否还有效
-
而 HANDLE 本身,只是访问它的钥匙。