explorer.exe句柄表的结构和前三个句柄对应的对象--重要

news/2025/2/25 6:26:12

explorer.exe句柄表的结构和前三个句柄对应的对象
第二部分:

0: kd> !handle

PROCESS 89589d88  SessionId: 0  Cid: 00e4    Peb: 7ffdf000  ParentCid: 0464
    DirBase: 784cf000  ObjectTable: e19ce678  HandleCount: 275.
    Image: explorer.exe

Handle table at e19ce678 with 275 entries in use


例子1:
0004: Object: e10037a8  GrantedAccess: 00000003 (Protected) Entry: e1037008
Object: e10037a8  Type: (8999b8e8) KeyedEvent
    ObjectHeader: e1003790 (old version)
        HandleCount: 18  PointerCount: 19
        Directory Object: e1000640  Name: CritSecOutOfMemoryEvent


例子2:
0008: Object: 894cebe0  GrantedAccess: 001f0003 Entry: e1037010
Object: 894cebe0  Type: (8999c6f0) Event
    ObjectHeader: 894cebc8 (old version)
        HandleCount: 1  PointerCount: 1

例子3:
000c: Object: e14e7778  GrantedAccess: 00000003 Entry: e1037018
Object: e14e7778  Type: (899a2e70) Directory
    ObjectHeader: e14e7760 (old version)
        HandleCount: 17  PointerCount: 49
        Directory Object: e10007c0  Name: KnownDlls


第三部分:

0: kd> dt nt!HANDLE_TABLE 0xe19ce694-1c
   +0x000 TableCode        : 0xe1037000
   +0x004 QuotaProcess     : 0x89589d88 _EPROCESS
   +0x008 UniqueProcessId  : 0x000000e4 Void
   +0x00c HandleTableLock  : [4] _EX_PUSH_LOCK
   +0x01c HandleTableList  : _LIST_ENTRY [ 0x80bf6000 - 0xe17ae13c ]
   +0x024 HandleContentionEvent : _EX_PUSH_LOCK
   +0x028 DebugInfo        : (null)
   +0x02c ExtraInfoPages   : 0n0
   +0x030 FirstFree        : 0x498
   +0x034 LastFree         : 0x520
   +0x038 NextHandleNeedingPool : 0x800
   +0x03c HandleCount      : 0n275
   +0x040 Flags            : 1
   +0x040 StrictFIFO       : 0y1


例子1:
0: kd> dt HANDLE_TABLE_ENTRY 0xe1037000+8*1
ntdll!HANDLE_TABLE_ENTRY
   +0x000 Object           : 0xe1003791 Void
   +0x000 ObAttributes     : 0xe1003791
   +0x000 InfoTable        : 0xe1003791 _HANDLE_TABLE_ENTRY_INFO
   +0x000 Value            : 0xe1003791
   +0x004 GrantedAccess    : 0x2000003
   +0x004 GrantedAccessIndex : 3
   +0x006 CreatorBackTraceIndex : 0x200
   +0x004 NextFreeTableEntry : 0n33554435
0: kd> dt nt!_OBJECT_HEADER 0xe1003790
   +0x000 PointerCount     : 0n19
   +0x004 HandleCount      : 0n18
   +0x004 NextToFree       : 0x00000012 Void
   +0x008 Type             : 0x8999b8e8 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0x18 ''
   +0x00d HandleInfoOffset : 0 ''
   +0x00e QuotaInfoOffset  : 0 ''
   +0x00f Flags            : 0x32 '2'
   +0x010 ObjectCreateInfo : 0x00000001 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x00000001 Void
   +0x014 SecurityDescriptor : 0xe10015d7 Void
   +0x018 Body             : _QUAD
0: kd> !object 0xe10037a8
Object: e10037a8  Type: (8999b8e8) KeyedEvent
    ObjectHeader: e1003790 (old version)
    HandleCount: 18  PointerCount: 19
    Directory Object: e1000640  Name: CritSecOutOfMemoryEvent

例子2:
0: kd> dt HANDLE_TABLE_ENTRY 0xe1037000+8*2
ntdll!HANDLE_TABLE_ENTRY
   +0x000 Object           : 0x894cebc9 Void
   +0x000 ObAttributes     : 0x894cebc9
   +0x000 InfoTable        : 0x894cebc9 _HANDLE_TABLE_ENTRY_INFO
   +0x000 Value            : 0x894cebc9
   +0x004 GrantedAccess    : 0x1f0003
   +0x004 GrantedAccessIndex : 3
   +0x006 CreatorBackTraceIndex : 0x1f
   +0x004 NextFreeTableEntry : 0n2031619
0: kd> !object 0x894cebe0
Object: 894cebe0  Type: (8999c6f0) Event
    ObjectHeader: 894cebc8 (old version)
    HandleCount: 1  PointerCount: 1

例子3:
0: kd> dt HANDLE_TABLE_ENTRY 0xe1037000+8*3
ntdll!HANDLE_TABLE_ENTRY
   +0x000 Object           : 0xe14e7761 Void
   +0x000 ObAttributes     : 0xe14e7761
   +0x000 InfoTable        : 0xe14e7761 _HANDLE_TABLE_ENTRY_INFO
   +0x000 Value            : 0xe14e7761
   +0x004 GrantedAccess    : 3
   +0x004 GrantedAccessIndex : 3
   +0x006 CreatorBackTraceIndex : 0
   +0x004 NextFreeTableEntry : 0n3
0: kd> dt nt!_OBJECT_HEADER 0xe14e7760
   +0x000 PointerCount     : 0n49
   +0x004 HandleCount      : 0n17
   +0x004 NextToFree       : 0x00000011 Void
   +0x008 Type             : 0x899a2e70 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0x18 ''
   +0x00d HandleInfoOffset : 0 ''
   +0x00e QuotaInfoOffset  : 0 ''
   +0x00f Flags            : 0x30 '0'
   +0x010 ObjectCreateInfo : 0x80bf4440 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x80bf4440 Void
   +0x014 SecurityDescriptor : 0xe1505773 Void
   +0x018 Body             : _QUAD
0: kd> !object 0xe14e7778
Object: e14e7778  Type: (899a2e70) Directory
    ObjectHeader: e14e7760 (old version)
    HandleCount: 17  PointerCount: 49
    Directory Object: e10007c0  Name: KnownDlls

    Hash Address  Type                      Name
    ---- -------  ----                      ----
     00  e1558278 Section                   gdi32.dll
         e14e7640 Section                   imagehlp.dll
         e155cf90 Section                   url.dll
     01  e1454048 Section                   appHelp.dll
     02  e15540c8 Section                   MPR.dll
     03  e155a140 Section                   ole32.dll
         e155cf20 Section                   urlmon.dll
     04  e1501858 Section                   olesvr32.dll
         e1555bb8 Section                   lz32.dll
     06  e1556ef0 Section                   shell32.dll
         e1554048 Section                   wldap32.dll
     09  e1551140 Section                   user32.dll
         e14f90d0 Section                   version.dll
     10  e150aa68 Section                   olecli32.dll
     14  e154c0c8 Section                   MSASN1.dll
     16  e150b790 SymbolicLink              KnownDllPath
         e14e8140 Section                   COMCTL32.dll
     17  e150a158 Section                   CRYPT32.dll
     18  e155a0d0 Section                   oleaut32.dll
         e150bb70 Section                   advapi32.dll
     19  e1550048 Section                   SHLWAPI.dll
         e14e80d0 Section                   wow32.dll
         e15018c8 Section                   olecnv32.dll
     21  e15570c8 Section                   USERENV.dll
     23  e150b730 Section                   comdlg32.dll
     26  e154a6b0 Section                   wininet.dll
     27  e150b048 Section                   olethk32.dll
     28  e154e140 Section                   msvcrt.dll
     31  e1551048 Section                   rpcrt4.dll
         e154c048 Section                   SHDOCVW.dll
     32  e1554308 Section                   kernel32.dll


http://www.niftyadmin.cn/n/5865087.html

相关文章

Eclipse IDE 2025-03 最新版安装教程(官方下载+环境配置详解)

Eclipse IDE 2025-03 最新版安装教程(官方下载+环境配置详解)

一、软件定位与特性 Eclipse IDE 是开源跨平台集成开发环境,支持 Java/C/Python/PHP 等 50 编程语言,其插件生态系统覆盖 Web 开发、大数据分析、嵌入式开发等场景5。2025-03 版本新增智能代码补全、实时性能分析等 AI 增强功能。 二、安装环境准备 1. …
阅读更多...
VScode 开发

VScode 开发

目录 安装 VS Code 创建一个 Python 代码文件 安装 VS Code VSCode(全称:Visual Studio Code)是一款由微软开发且跨平台的免费源代码编辑器,VSCode 开发环境非常简单易用。 VSCode 安装也很简单,打开官网 Visual S…
阅读更多...
【Linux-网络】从逻辑寻址到物理传输:解构IP协议与ARP协议的跨层协作

【Linux-网络】从逻辑寻址到物理传输:解构IP协议与ARP协议的跨层协作

🎬 个人主页:谁在夜里看海. 📖 个人专栏:《C系列》《Linux系列》《算法系列》 ⛰️ 道阻且长,行则将至 目录 📚前言 📖 IP地址的组成 🔖IPv4 🔖IPv6 &#x1f4da…
阅读更多...
【深度学习】矩阵的核心问题解析

【深度学习】矩阵的核心问题解析

一、基础问题 1. 如何实现两个矩阵的乘法? 问题描述:给定两个矩阵 A A A和 B B B,编写代码实现矩阵乘法。 解法: 使用三重循环实现标准矩阵乘法。 或者使用 NumPy 的 dot 方法进行高效计算。 def matrix_multiply(A, B):m, n …
阅读更多...
Spring Boot 3 整合 Spring Cloud Gateway 工程实践

Spring Boot 3 整合 Spring Cloud Gateway 工程实践

引子 当前微服务架构已成为中大型系统的标配,但在享受拆分带来的敏捷性时,流量治理与安全管控的复杂度也呈指数级上升。因此,我们需要构建微服务网关来为系统“保驾护航”。本文将会通过一个项目(核心模块包含 鉴权服务、文件服务…
阅读更多...
Node.js 文件操作教程

Node.js 文件操作教程

Node.js 文件操作教程 1. 文件系统模块介绍 Node.js提供了fs(File System)模块来处理文件操作。这是一个内置模块,不需要额外安装。使用前,需要先引入: const fs require(fs); // 或使用 Promise API const fsProm…
阅读更多...
Web自动化之Selenium添加网站Cookies实现免登录

Web自动化之Selenium添加网站Cookies实现免登录

在使用Selenium进行Web自动化时,添加网站Cookies是实现免登录的一种高效方法。通过模拟浏览器行为,我们可以将已登录状态的Cookies存储起来,并在下次自动化测试或爬虫任务中直接加载这些Cookies,从而跳过登录步骤。 Cookies简介 …
阅读更多...
Visual Studio 安装全攻略

Visual Studio 安装全攻略

一、引言 Visual Studio 作为一款功能强大且广受欢迎的集成开发环境(IDE),为开发者提供了全面的工具和服务,涵盖了从代码编写、调试到项目部署等软件开发全流程支持。无论是开发 Web 应用、桌面程序,还是移动应用、游…
阅读更多...
最新文章

Copyright @ 2022~2023