刘收获

导航

句柄与句柄表(数据结构,源码分析)

0x01  句柄,句柄表概念

    任意进程,只要每打开一个对象,就会获得一个句柄,这个句柄用来标志对某个对象的一次打开,通过句柄,可以直接找到对应的内核对象。句柄本身是进程的句柄表中的一个结构体,用来描述一次打开操作。句柄值则可以简单看做句柄表中的索引,并不影响理解。HANDLE的值可以简单的看做一个整形索引值。

    每个进程都有一个句柄表,用来记录本进程打开的所有内核对象。句柄表可以简单看做为一个一维数组,每个表项就是一个句柄,一个结构体,一个句柄描述符,其结构体定义如下:

typedef struct _HANDLE_TABLE_ENTRY  //句柄描述符
{
    union
    {
        PVOID Object;//关键字段。该句柄指向的内核对象(注意是其头部)
        ULONG_PTR ObAttributes;//关键字段。该句柄的属性
        PHANDLE_TABLE_ENTRY_INFO InfoTable;
        ULONG_PTR Value;//值(可见值本身是一个复合体),最低3位表示该句柄的属性(Value= Object | ObAttributes)
    };
    union
    {
        ULONG GrantedAccess;//关键字段。该句柄的访问权限
        struct
        {
            USHORT GrantedAccessIndex;
            USHORT CreatorBackTraceIndex;
        };
        LONG NextFreeTableEntry;//当本句柄是一个空闲表项时,用来链接到句柄表中下一个空闲表项
    };
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

  

    

  一 个 进 程 可 能 同 时 打 开 许 多 对 象 ,跟 许 多 对 象 建 立 连 接 , 还 可 以 跟 同 一 个 对 象 建 立 起 多 个 连 接 。 所 以 每 个 程 都 需 要 有 个 句 柄 表 用 来 记 录 , 维 持 这 些 连 接 。 所 以 , 句 柄 表 最 基 本 的 作
用 就 是 一 张 句 柄 与 目 标 对 象 之 间 的 对 照 表 , 而 句 柄 表 中 的 每 个 表 項 , 则 代 表 着 一 个 具 体 的 连 接 。 所 以 , 在 "进 程 控 制 控 制 *"EPROCESS#“中有 指 针 ObjectTable, 用 来指 向 本 进 程 向 柄 表。

  句柄表结构体定义:

typedef struct _HANDLE_TABLE    //句柄表描述符
{
    ULONG TableCode; //表的地址|表的层数(该字段的最后两位表示表的层数)
    PHANDLE_TABLE_ENTRY **Table; 
    PEPROCESS QuotaProcess;//所属进程
    PVOID UniqueProcessId; //所属进程的PID
    EX_PUSH_LOCK HandleTableLock[4];
    LIST_ENTRY HandleTableList;//用来挂入全局的句柄表链表(间接给出了系统中的进程列表)
    EX_PUSH_LOCK HandleContentionEvent;
    ERESOURCE HandleLock;
    LIST_ENTRY HandleTableList;
    KEVENT HandleContentionEvent;
    PHANDLE_TRACE_DEBUG_INFO DebugInfo;
    LONG ExtraInfoPages;
    ULONG FirstFree;//第一个空闲表项的索引位置
    ULONG LastFree;//最后一个空闲表项的索引位置
    ULONG NextHandleNeedingPool;//本句柄表本身占用的内存页数
    LONG HandleCount;//表中的有效句柄总数
    union
    {
        ULONG Flags;
        UCHAR StrictFIFO:1;
    };
} HANDLE_TABLE, *PHANDLE_TABLE;

  每当创建或打开了一个对象,要为之创建句柄并插入句柄表的时候,就为其准备一个临时的HANDLE_TABLE_ENTRY结构,使其指向这个对象的头部,然后通过EXCreateHandle将其“安装”句柄表中。而EXCreateHandle返回句柄,句柄的值表明了安装的位置。

  ExCreateHandle函数原型(关键代码):

HANDLE   ExCreateHandle(PHANDLE_TABLE HandleTable,   PHANDLE_TABLE_ENTRY HandleTableEntry)
{
    EXHANDLE Handle;
    NewEntry = ExpAllocateHandleTableEntry(HandleTable,&Handle);//在句柄表中找到一个空闲表项
   ... *NewEntry = *HandleTableEntry;//复制句柄表项
   ... return Handle.GenericHandleOverlay;//返回句柄值(也即空闲表项的索引位置) }

  

  ObpCreateHandle函数打开对象,获得句柄:

NTSTATUS
ObpCreateHandle(IN OB_OPEN_REASON OpenReason,//4种打开时机
                IN PVOID Object, //要打开的对象
                IN PACCESS_STATE AccessState, //句柄的访问权限
                IN ULONG HandleAttributes, //句柄的属性
                IN KPROCESSOR_MODE AccessMode,
                OUT PHANDLE ReturnedHandle) //返回的句柄值
{
    BOOLEAN AttachedToProcess = FALSE, KernelHandle = FALSE;
    NewEntry.Object = ObjectHeader;//关键。将该句柄指向对应的对象头

    if (HandleAttributes & OBJ_KERNEL_HANDLE)//如果用户要求创建一个全局型的内核句柄
    {
        HandleTable = ObpKernelHandleTable;//改用内核句柄表
        KernelHandle = TRUE;
        //将当前线程挂靠到system进程,也即修改当前的CR3,将页表换成system进程的页表
        if (PsGetCurrentProcess() != PsInitialSystemProcess)
        {
            KeStackAttachProcess(&PsInitialSystemProcess->Pcb, &ApcState);
            AttachedToProcess = TRUE;
        }
    }
    else
        HandleTable = PsGetCurrentProcess()->ObjectTable;//使用当前进程的句柄表
    

   //检查是否可以独占打开,检查权限,若各项检查通过才打开对象,递增句柄计数,调用对象的OpenProcedure等等工作
    Status = ObpIncrementHandleCount(Object,
                                     AccessState,
                                     AccessMode,
                                     HandleAttributes,
                                     PsGetCurrentProcess(),
                                     OpenReason);
    if (!NT_SUCCESS(Status))
        return Status;
    
    NewEntry.ObAttributes |= (HandleAttributes & OBJ_HANDLE_ATTRIBUTES);//填上句柄的属性

    DesiredAccess =AccessState->RemainingDesiredAccess|AccessState->PreviouslyGrantedAccess;
    GrantedAccess = DesiredAccess &(ObjectType->TypeInfo.ValidAccessMask);
    NewEntry.GrantedAccess = GrantedAccess;//填上句柄的属性
    Handle = ExCreateHandle(HandleTable, &NewEntry);//将句柄插入到句柄表中
    if (Handle)//if 插入成功
    {
        if (KernelHandle)
 Handle = ObMarkHandleAsKernelHandle(Handle);//将句柄值的最高位设为1,标记为内核句柄

        *ReturnedHandle = Handle;
        if (AttachedToProcess)
 KeUnstackDetachProcess(&ApcState);//撤销挂靠
        return STATUS_SUCCESS;
}
Else
{
…
       return STATUS_INSUFFICIENT_RESOURCES;
}
}

  

打开对象,以得到一个访问句柄。有四种打开时机:

1、  创建对象时就打开,如CreateFile在创建一个新文件时,就同时打开了那个文件对象

2、   显式打开,如OpenFile,OpenMutex,OpenProcess显式打开某个对象

3、   DuplicateHandle这个API间接打开对象,获得句柄

4、   子进程继承父进程句柄表中的句柄,也可看做是一种打开

在这四种情况下,都会调用这个函数来打开对象,得到一个句柄。OpenReason参数就是指打开原因、时机

注意句柄值的最高位为1,就表示这是一个内核全局句柄,可以在各个进程中通用。否则,一般的句柄,只能在对应的进程中有意义。

另外有两个特殊的伪句柄,他们并不表示‘索引’,而是一个简单的代号值

GetCurrentProcessHandle  返回的句柄值是-1

GetCurrentThreadHandle   返回的句柄值是-2

对这两个句柄要特殊处理。

 

句柄不光含有指向对象的指针,每个句柄都还有自己的访问权限与属性,这也是非常重要的。访问权限表示本次打开操作要求的、申请的并且最终得到的权限。句柄属性则表示本句柄是否可以继承,是否是独占打开的,是否是一个内核句柄等属性。

  

 

posted on 2018-01-22 17:05  沉疴  阅读(3723)  评论(0编辑  收藏  举报