Windows内核-句柄表（五）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

zhang_derek 活跃值

2022-8-14 15:04

8426

全局句柄表中只存储进程和线程对象,把PID/CID当作索引在全局句柄表中查找对应对象结构.

全局句柄表最多有三张表，可以存1024x1024x512个。

通过进程PID，在全局句柄表中查到进程对象

查看对象类型

全局句柄表中存储的是所有进程和线程的句柄表。每个进程还存储自己的私有句柄表

1.EPROCESS的f4位置存的就是进程的私有句柄表

2.查看私有句柄表结构

DriverMain.c

句柄提权步骤

收藏・15

免费・11

支持

最新回复 (4)
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 2 楼 2022-8-15 00:02 0
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 3 楼感谢大佬发布技术文章 2022-8-15 00:03 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼谢谢分享 2022-8-15 09:07 0
heye123 雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	heye123 5 楼学习 2022-8-23 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhang_derek

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 2 楼 2022-8-15 00:02 0
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 3 楼感谢大佬发布技术文章 2022-8-15 00:03 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼谢谢分享 2022-8-15 09:07 0
heye123 雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	heye123 5 楼学习 2022-8-23 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复