摘要:
3.1 何为内核对象工具WinObj可以查看所有类型的内核对象。每个内核对象都只是一个内存块,它由内核分配,并只能由内核访问。这个内存块是一个数据结构,其成员维护着与对象相关的信息。少数成员是所有对象都有的,但其他大多数成员都是不同的对象类型特有的——比如进程对象的PID,文件对象的共享模式。应用程序利用windows提供的一组函数,以经过良好定义的方式来操纵内核对象。句柄(handle)标识了内核对象,在32位进程中句柄为32位的值,在64位进程中则为64位值。句柄的值与进程是相关的。内核对象的生命期可能长于创建其的进程,内核对象的所有者是内核而非进程。所有的内核对象类型都包含的一个数据成员 阅读全文
