016 內核對象1
阿新 • • 發佈:2017-07-03
使用 本質 logs sys 計數 win obj spa 當前
內核對象
● 內核對象
● 句柄的本質
● 下載 WinObj
○ https://technet.microsoft.com/en-us/sysinternals/bb896657/
● WinObj 主要是用來參看我們系統中的內核對象
○ 必須用管理員權限啟動程序
○ 內核對象是屬於我的系統的內核對象
○ 進程僅僅擁有內核對象的使用權
○ 並且是受限制的
● RO 跟 R3的關系
○ R3下的操作都需要通過R0層進行操作
○ R3下就好像是 R0的一個虛擬鏡像,實際操作還是由R0層操作的
● 使用計數
○ R0 和 R3層是完全隔絕的
○ 使用計數內核通信
○ 進程可以使用任何一個內核對象,但是它不能決定內核對象的生活著死。
○ 內核對象變得沒有意思的時候,但是之間又沒有交互的話,就有了一個使用技術
○ 進程和內核對象是物理分隔的
○ 使用計數將會決定內核對象的生命周期
○ 使用計數也可以使我們同一個內核對象被多個進程所擁有,獲取到當前的句柄。
○ 安全性
○ 一般設置位NULL
○ 安全性的設置
016 內核對象1