内核句柄和用户句柄
内核句柄的值有KERNEL_HANDLE_MASK标识(小于0),用户句柄的值没有KERNEL_HANDLE_MASK(大于0)。
ObReferenceObjectByHandle
当句柄值不含有KERNEL_HANDLE_MASK标志时(用户句柄)
当句柄值为-1或-2时
当句柄值含有KERNEL_HANDLE_MASK标志时(内核句柄)
内核中使用ObReferenceObjectByHandle获取Object
在内核中利用3环的handle来获取Object(AccessMode == UserMode)
ObReferenceObject在执行到SuccessToHandleTable后,通过调用ExMapHandleToPointerEx函数来得到对应的Object。
ExMapHandleToPointerEx函数通过调用ExpLookupHandleTableEntry从句柄表HandleTable里寻找Object
ExpLookupHandleTableEntry函数会清除Handle的属性位后,判断handle的值是否大于句柄表中最大的句柄值。
到最后ExMapHandleToPointerEx就会返回,
在内核中利用0环的handle(内核handle)来获取Object(AccessMode == KernelMode)
以文件对象为例:利用文件对象名称获得对应的内核句柄,然后通过内核句柄获取对应的文件对象Object。
IO_STATUS_BLOCK IoStatusBlock = { 0 };
NTSTATUS Status;
//通过对象名称,得到对象内核句柄
InitializeObjectAttributes(
&TempObjectAttributes,
In_ObjectAttributes->ObjectName,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
TempRootDirectory,
NULL
);
Status = IoCreateFile(FileHandle,
GENERIC_READ | SYNCHRONIZE,
&TempObjectAttributes,
&IoStatusBlock,
0,
FILE_ATTRIBUTE_NORMAL,
FILE_SHARE_READ | FILE_SHARE_WRITE,
FILE_OPEN,
FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT,
0,
0,
CreateFileTypeNone,
0,
IO_NO_PARAMETER_CHECKING
);