0x01 句柄,句柄表概念
任意进程,只要每打开一个对象,就会获得一个句柄,这个句柄用来标志对某个对象的一次打开,通过句柄,可以直接找到对应的内核对象。句柄本身是进程的句柄表中的一个结构体,用来描述一次打开操作。句柄值则可以简单看做句柄表中的索引,并不影响理解。HANDLE的值可以简单的看做一个整形索引值。
每个进程都有一个句柄表,用来记录本进程打开的所有内核对象。句柄表可以简单看做为一个一维数组,每个表项就是一个句柄,一个结构体,一个句柄描述符,其结构体定义如下:
typedef struct _HANDLE_TABLE_ENTRY //句柄描述符
{
union
{
PVOID Object;//关键字段。该句柄指向的内核对象(注意是其头部)
ULONG_PTR ObAttributes;//关键字段。该句柄的属性
PHANDLE_TABLE_ENTRY_INFO InfoTable;
ULONG_PTR Value;//值(可见值本身是一个复合体),最低3位表示该句柄的属性(Value= Object | ObAttributes)
};
union
{
ULONG GrantedAccess;//关键字段。该句柄的访问权限
struct
{
USHORT GrantedAccessIndex;
USHORT CreatorBackTraceIndex;
};
LONG NextFreeTableEntry;//当本句柄是一个空闲表项时,用来链接到句柄表中下一个空闲表项
};
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;
一 个 进 程 可 能 同 时 打 开 许 多 对 象 ,跟 许 多 对 象 建 立 连 接 , 还 可 以 跟 同 一 个 对 象 建 立 起 多 个 连 接 。 所 以 每 个 程 都 需 要 有 个 句 柄 表 用 来 记 录 , 维 持 这 些 连 接 。 所 以 , 句 柄 表 最 基 本 的 作
用 就 是 一 张 句 柄 与 目 标 对 象 之 间 的 对 照 表 , 而 句 柄 表 中 的 每 个 表 項 , 则 代 表 着 一 个 具 体 的 连 接 。 所 以 , 在 "进 程 控 制 控 制 *"EPROCESS#“中有 指 针 ObjectTable, 用 来指 向 本 进 程 向 柄 表。
句柄表结构体定义:
typedef struct _HANDLE_TABLE //句柄表描述符
{
ULONG TableCode; //表的地址|表的层数(该字段的最后两位表示表的层数)
PHANDLE_TABLE_ENTRY **Table;
PEPROCESS QuotaProcess;//所属进程
PVOID UniqueProcessId; //所属进程的PID
EX_PUSH_LOCK HandleTableLock[4];
LIST_ENTRY HandleTableList;//用来挂入全局的句柄表链表(间接给出了系统中的进程列表)
EX_PUSH_LOCK HandleContentionEvent;
ERESOURCE HandleLock;
LIST_ENTRY HandleTableList;
KEVENT HandleContentionEvent;
PHANDLE_TRACE_DEBUG_INFO DebugInfo;
LONG ExtraInfoPages;
ULONG FirstFree;//第一个空闲表项的索引位置
ULONG LastFree;//最后一个空闲表项的索引位置
ULONG NextHandleNeedingPool;//本句柄表本身占用的内存页数
LONG HandleCount;//表中的有效句柄总数
union
{
ULONG Flags;
UCHAR StrictFIFO:1;
};
} HANDLE_TABLE, *PHANDLE_TABLE;
每当创建或打开了一个对象,要为之创建句柄并插入句柄表的时候,就为其准备一个临时的HANDLE_TABLE_ENTRY结构,使其指向这个对象的头部,然后通过EXCreateHandle将其“安装”句柄表中。而EXCreateHandle返回句柄,句柄的值表明了安装的位置。
ExCreateHandle函数原型(关键代码):
HANDLE ExCreateHandle(PHANDLE_TABLE HandleTable, PHANDLE_TABLE_ENTRY HandleTableEntry)
{
EXHANDLE Handle;
NewEntry = ExpAllocateHandleTableEntry(HandleTable,&Handle);//在句柄表中找到一个空闲表项
...
*NewEntry = *HandleTableEntry;//复制句柄表项
...
return Handle.GenericHandleOverlay;//返回句柄值(也即空闲表项的索引位置)
}
ObpCreateHandle函数打开对象,获得句柄:
NTSTATUS
ObpCreateHandle(IN OB_OPEN_REASON OpenReason,//4种打开时机
IN PVOID Object, //要打开的对象
IN PACCESS_STATE AccessState, //句柄的访问权限
IN ULONG HandleAttributes, //句柄的属性
IN KPROCESSOR_MODE AccessMode,
OUT PHANDLE ReturnedHandle) //返回的句柄值
{
BOOLEAN AttachedToProcess = FALSE, KernelHandle = FALSE;
NewEntry.Object = ObjectHeader;//关键。将该句柄指向对应的对象头
if (HandleAttributes & OBJ_KERNEL_HANDLE)//如果用户要求创建一个全局型的内核句柄
{
HandleTable = ObpKernelHandleTable;//改用内核句柄表
KernelHandle = TRUE;
//将当前线程挂靠到system进程,也即修改当前的CR3,将页表换成system进程的页表
if (PsGetCurrentProcess() != PsInitialSystemProcess)
{
KeStackAttachProcess(&PsInitialSystemProcess->Pcb, &ApcState);
AttachedToProcess = TRUE;
}
}
else
HandleTable = PsGetCurrentProcess()->ObjectTable;//使用当前进程的句柄表
//检查是否可以独占打开,检查权限,若各项检查通过才打开对象,递增句柄计数,调用对象的OpenProcedure等等工作
Status = ObpIncrementHandleCount(Object,
AccessState,
AccessMode,
HandleAttributes,
PsGetCurrentProcess(),
OpenReason);
if (!NT_SUCCESS(Status))
return Status;
NewEntry.ObAttributes |= (HandleAttributes & OBJ_HANDLE_ATTRIBUTES);//填上句柄的属性
DesiredAccess =AccessState->RemainingDesiredAccess|AccessState->PreviouslyGrantedAccess;
GrantedAccess = DesiredAccess &(ObjectType->TypeInfo.ValidAccessMask);
NewEntry.GrantedAccess = GrantedAccess;//填上句柄的属性
Handle = ExCreateHandle(HandleTable, &NewEntry);//将句柄插入到句柄表中
if (Handle)//if 插入成功
{
if (KernelHandle)
Handle = ObMarkHandleAsKernelHandle(Handle);//将句柄值的最高位设为1,标记为内核句柄
*ReturnedHandle = Handle;
if (AttachedToProcess)
KeUnstackDetachProcess(&ApcState);//撤销挂靠
return STATUS_SUCCESS;
}
Else
{
…
return STATUS_INSUFFICIENT_RESOURCES;
}
}
打开对象,以得到一个访问句柄。有四种打开时机:
1、 创建对象时就打开,如CreateFile在创建一个新文件时,就同时打开了那个文件对象
2、 显式打开,如OpenFile,OpenMutex,OpenProcess显式打开某个对象
3、 DuplicateHandle这个API间接打开对象,获得句柄
4、 子进程继承父进程句柄表中的句柄,也可看做是一种打开
在这四种情况下,都会调用这个函数来打开对象,得到一个句柄。OpenReason参数就是指打开原因、时机
注意句柄值的最高位为1,就表示这是一个内核全局句柄,可以在各个进程中通用。否则,一般的句柄,只能在对应的进程中有意义。
另外有两个特殊的伪句柄,他们并不表示‘索引’,而是一个简单的代号值
GetCurrentProcessHandle 返回的句柄值是-1
GetCurrentThreadHandle 返回的句柄值是-2
对这两个句柄要特殊处理。
句柄不光含有指向对象的指针,每个句柄都还有自己的访问权限与属性,这也是非常重要的。访问权限表示本次打开操作要求的、申请的并且最终得到的权限。句柄属性则表示本句柄是否可以继承,是否是独占打开的,是否是一个内核句柄等属性。