Windows内核-句柄表（五）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

17

11

Windows内核-句柄表（五）

发表于: 2022-8-14 15:04 8754

Windows内核-句柄表（五）

zhang_derek 活跃值

活跃值

1

2022-8-14 15:04

8754

全局句柄表中只存储进程和线程对象,把PID/CID当作索引在全局句柄表中查找对应对象结构.

全局句柄表最多有三张表，可以存1024x1024x512个。

通过进程PID，在全局句柄表中查到进程对象

查看对象类型

全局句柄表中存储的是所有进程和线程的句柄表。每个进程还存储自己的私有句柄表

1.EPROCESS的f4位置存的就是进程的私有句柄表

2.查看私有句柄表结构

DriverMain.c

句柄提权步骤

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向 #系统底层

收藏・17

免费・11

支持

分享

赞赏记录

参与人

雪币

留言

时间

mb_yfioexda

为你点赞~

2023-8-22 10:59

伟叔叔

为你点赞~

2023-3-18 01:31

PLEBFE

为你点赞~

2023-1-12 00:44

mb_htevdftu

为你点赞~

2022-10-28 08:07

IKAIL

为你点赞~

2022-9-12 21:44

heye123

为你点赞~

2022-8-17 00:10

zhczf

为你点赞~

2022-8-15 14:07

mb_xuxpsolj

为你点赞~

2022-8-15 09:46

我skyddr

为你点赞~

2022-8-15 00:02

zhang_derek

为你点赞~

2022-8-14 21:12

Grav1ty

为你点赞~

2022-8-14 19:21

查看更多

最新回复 (4)
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 2 楼 2022-8-15 00:02 0
我skyddr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 37 粉丝 3 关注私信	我skyddr 3 楼感谢大佬发布技术文章 2022-8-15 00:03 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼谢谢分享 2022-8-15 09:07 0
heye123 雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	heye123 5 楼学习 2022-8-23 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

zhang_derek

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区