-
-
[原创]Windows句柄表分配算法分析 (实验部分)
-
发表于: 2009-3-29 14:43
-
本文是《Windows句柄表分配算法分析》的随文实验
回顾:
TableLevle=HandleTable->TableCode&3;
CapturedTable=HandleTable->TableCode&~3;
句柄表的结构根据TableLevel来确定:
TableLevel为0时,CapturedTable是一级表
TableLevel为1时,CapturedTable是二级表,CapturedTable[i]是一级表
TableLevel为2时,CapturedTable是三级表,CapturedTable[i]是二级表,CapturedTable[i][j]是一级表
三级表的内容是二级表指针,二级表的内容是一级表指针,一级表中放的才是对象及访问属性(HANDLE_TABLE_ETNRY结构)
实验目的:以实验的方式观察PspCidTable的变化,从中了解Windows句柄表的分配过程.
实验器材:Windbg,RunIt(一个可控的不断创建线程的程序,见附件)
准备工作:获取PspCidTable的基本信息
lkd> dd PspCidTable l1 8055a360 e1001810 //获取PspCidTable的地址 lkd> dt _HANDLE_TABLE e1001810 nt!_HANDLE_TABLE +0x000 TableCode : 0xe1003000 //表基址为0xe1003000,一级表 +0x004 QuotaProcess : (null) +0x008 UniqueProcessId : (null) +0x00c HandleTableLock : [4] _EX_PUSH_LOCK +0x01c HandleTableList : _LIST_ENTRY [ 0xe100182c - 0xe100182c ] +0x024 HandleContentionEvent : _EX_PUSH_LOCK +0x028 DebugInfo : (null) +0x02c ExtraInfoPages : 0 +0x030 FirstFree : 0x308 +0x034 LastFree : 0x34c +0x038 NextHandleNeedingPool : 0x800 //当前的句柄上限 +0x03c HandleCount : 329 +0x040 Flags : 1 +0x040 StrictFIFO : 0y1
lkd> dd 0xe1003000 e1003000 00000000 fffffffe 821bb661 00000000 e1003010 821bb3e9 00000000 821ba021 00000000 e1003020 821bad21 00000000 821baaa9 00000000 e1003030 821ba831 00000000 821ba5b9 00000000 e1003040 821ba341 00000000 821b9021 00000000 e1003050 821b9da9 00000000 821b9b31 00000000 e1003060 821b98b9 00000000 821b9641 00000000 e1003070 821b93c9 00000000 821b8021 00000000
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
文章真细致
