摘要： 大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄，最后再看看这AccessMode是内核还是用户态下，内核的话，句柄表就用ObpKernelHandleTable，用户态的话就用当前进程的句柄表NTSTATUSObReferenceObjectByHandle ( __in HANDLE Handle, __in ACCESS_MASK DesiredAccess, __in_opt POBJECT_TYPE ObjectType, __in KPROCESSOR_MODE AccessMode, __out PVOID *Object, __out_opt POBJECT_HANDLE_ 阅读全文