windows 句柄和句柄表

句柄

    Windows支持的句柄是一个索引，指向该句柄所在进程的句柄表中的一个表项。例如，在C运行库中，文件操作使用句柄来表示，每当应用程序创建或打开一个文件时，只要此创建或打开操作成功，则C运行库返回一个句柄。以后应用程序对文件的读写操作都使用此句柄来标示该文件。    handle是一个32位的数，其中2~10位表示0级表的索引，11~20位表示1级表的索引，21~30位表示2级表的索引。    struct {       ULONG_PTR   TagBits2:2       ULONG_PTR   LowIndex:HANDLE_LOW_BITS (2~10)       ULONG_PTR   MidIndex:HANDLE_HIGH_BITS (11~20)       ULONG_PTR   HighIndex:HANDLE_HIGH_BITS (21~30)       ULONG_PTR   KernelFlag:1    }; 

句柄表

    句柄表是一个多层结构。    struct _HANDLE_TABLE{        ULONG_PTR TableCode;        ...    }    TableCode域是一个指针，指向句柄表的最高层表项页面，它的低2位的值代表了当前句柄表的层数。也就是说，如果TableCode的最低2位为0，说明句柄表只有一层；如果TableCode的最低2位为1，则说明句柄表有两层；如果TableCode的最低2位为2，则说明句柄表有三层。

句柄表项

    struct _HANDLE_TABLE_ENTRY{        PVOID Object;        ...    }    Object指针指向句柄所代表的的内核对象，它的最低3位有特别含义：第0位OBJ_PROTECT_CLOSE，表示调用者是否允许关闭该句柄；第1位OBJ_INHERIT指示该进程所创建的子进程是否可以继承该句柄，即是否将该句柄项拷贝到它们的句柄表中；第2位OBJ_AUDIT_OBJECT_CLOSE，指示关闭该对象时是否产生一个审计事件。

将一个句柄解析成相应的内核对象

    首先，一个有效的句柄有4中可能：    -1，代表当前进程    -2，代表当前线程    负值，其绝对值为内核句柄表中的索引，即system进程的句柄表    正值，当前进程的句柄表中的索引    下面代码根据TableCode和Handle获得object。    /* Get the table code */    TableBase = HandleTable->TableCode;    /* Extract the table level and actual table base */    TableLevel = (ULONG)(TableBase & 3);    TableBase &= ~3;    PointerArray = (PVOID*)TableBase;    HandleArray = (PHANDLE_TABLE_ENTRY)TableBase;    /* Check what level we're running at */    switch (TableLevel)      {      case 2:         /* Get the mid level pointer array */          PointerArray = PointerArray[Handle.HighIndex];         /* Fall through */      case 1:         /* Get the handle array */          HandleArray = PointerArray[Handle.MidIndex];         /* Fall through */      case 0:         /* Get the entry using the low index */          Entry = &HandleArray[Handle.LowIndex];         /* All done */          break;      default:          ASSERT(FALSE);          Entry = NULL;   }