[求助]hook ZwCreateFile获取的同一文件的文件句柄为啥每次都不一样。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 2 楼要是一样，才见了鬼 2014-8-15 11:50 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 3 楼那我为什么还要去存储每一个文件的文件句柄。然后根据文件句柄判断呢？？真是好奇怪啊！！见鬼了。。 2014-8-15 12:31 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 4 楼是不是文件句柄具有即时性，句柄对于打开的文件是唯一的识别依据。 2014-8-15 12:44 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼 Create/Close这是一个周期，周期内是不变的，周期外可能每次都不一样 2014-8-15 12:50 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 6 楼我来小说明一下这个周期性怎么理解。一、任何在Ring3 下的 Create，像CreateProcess、CreateEvent等等，最终都要把建造成的东西转化为句柄，也就是咱们说的Handle,而Handle,是一个索引，指向一个一般性的内核对象地址。二、所以一个程序如果在很短的时间内进行，创建（分配索引）->Close(释放索引) ->然后再创建的过程,那么这分配得到的句柄就有可能是一样的，就像转储。三、而常规的操作时，顺序性的，所以索引(Handle)肯定也就各不相同啦。四、句柄，无时效性，它是从建立开始就存在，并且至CLose失效的。五、句柄，有唯一性。表现为每个索引必须不相同，相同那肯定是见鬼了 2014-8-15 13:35 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 7 楼可以储存着， 2014-8-15 13:40 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 8 楼好的，谢谢你。看来我真的有太多需要学习的了，走了那么多的弯路。。大牛，有没有推荐的书籍 2014-8-15 13:40 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 9 楼我是水军，也是学习中的。你要看哪方面的书呢？回复好快啊 2014-8-15 13:42 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 10 楼好伤心啊！ 2014-8-15 15:19 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 11 楼解决了问题，咋还伤心？ 2014-8-15 15:31 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 12 楼妹子。。。。。 2014-8-16 18:56 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 13 楼其实想放弃这份工作了，想去做软件测试了，基础太差，静不下心来做事情。 2014-8-17 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 2 楼要是一样，才见了鬼 2014-8-15 11:50 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 3 楼那我为什么还要去存储每一个文件的文件句柄。然后根据文件句柄判断呢？？真是好奇怪啊！！见鬼了。。 2014-8-15 12:31 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 4 楼是不是文件句柄具有即时性，句柄对于打开的文件是唯一的识别依据。 2014-8-15 12:44 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼 Create/Close这是一个周期，周期内是不变的，周期外可能每次都不一样 2014-8-15 12:50 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 6 楼我来小说明一下这个周期性怎么理解。一、任何在Ring3 下的 Create，像CreateProcess、CreateEvent等等，最终都要把建造成的东西转化为句柄，也就是咱们说的Handle,而Handle,是一个索引，指向一个一般性的内核对象地址。二、所以一个程序如果在很短的时间内进行，创建（分配索引）->Close(释放索引) ->然后再创建的过程,那么这分配得到的句柄就有可能是一样的，就像转储。三、而常规的操作时，顺序性的，所以索引(Handle)肯定也就各不相同啦。四、句柄，无时效性，它是从建立开始就存在，并且至CLose失效的。五、句柄，有唯一性。表现为每个索引必须不相同，相同那肯定是见鬼了 2014-8-15 13:35 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 7 楼可以储存着， 2014-8-15 13:40 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 8 楼好的，谢谢你。看来我真的有太多需要学习的了，走了那么多的弯路。。大牛，有没有推荐的书籍 2014-8-15 13:40 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 9 楼我是水军，也是学习中的。你要看哪方面的书呢？回复好快啊 2014-8-15 13:42 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 10 楼好伤心啊！ 2014-8-15 15:19 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 11 楼解决了问题，咋还伤心？ 2014-8-15 15:31 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 12 楼妹子。。。。。 2014-8-16 18:56 0
婷婷abc 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 42 粉丝 0 关注私信	婷婷abc 13 楼其实想放弃这份工作了，想去做软件测试了，基础太差，静不下心来做事情。 2014-8-17 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复