[讨论]进程句柄不超过226传说-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 7 关注私信	KiDebug 4 2 楼上传的附件： QQ图片20130918233005.jpg （70.44kb，1次下载） 2013-9-18 23:30 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼貌似ObpCreateHandle可以指定是否使用内核句柄表（即system进程的句柄表），决定的参数由上一层传入，而不论是那种似乎都会增加句柄计数吧。。。回到ObOpenObjectByName又发现这个参数是更上一层传来的… 2013-9-18 23:43 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 4 楼而且…为啥这幅图里只有一个超过226的。。 2013-9-18 23:46 0
exediy 雪币： 227 活跃值： (450) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 654 粉丝 4 关注私信	exediy 1 5 楼三层句柄表。。。。。三层。。。。 2013-9-19 02:15 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 6 楼知道这个，就是没明白潘爱民老师那句话啥意思 2013-9-19 08:38 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 7 楼根据楼上的楼上 256的3次方 = 1677 7216 ,也就是能有1千多万个句柄, 2013-9-19 09:31 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 8 楼好像是这样... 2013-9-19 09:33 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼 _HANDLE_TABLE_ENTRY的尺寸是8byte 理论上的最大数量是(pagesize/sizeof(PVOID))^2 * pagesize/sizeof(_HANDLE_TABLE_ENTRY)，IA32下为1024^2*512 不过微软加了额外的限制，因为内核中不可能有那么多的对象这些都是很明白的，但令人费解的是书中的这段话：现在我们来看如何将一个句柄解析成相应的内核对象。首先，一个有效的句柄有4种可能： -1，代表当前进程。 -2，代表当前线程。负值，其绝对值为内核句柄表中的索引。仅限于内核模式的函数可以引用。不超过226 的正值，当前进程的句柄表中的索引。 2013-9-19 14:06 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 10 楼难道是笔误？ 2013-9-19 18:15 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 11 楼怀疑中…… 但是为啥要刻意加上这一条 2013-9-19 18:37 0
exediy 雪币： 227 活跃值： (450) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 654 粉丝 4 关注私信	exediy 1 12 楼可以借鉴下你楼上的楼上的文章: 7c3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4y4h3k6S2j5$3S2A6L8r3I4A6M7#2)9J5c8X3W2@1k6h3#2Q4x3V1k6V1y4K6k6V1k6o6p5&6k6X3q4S2y4U0j5H3k6e0S2V1y4e0V1I4y4o6j5I4x3h3p5`. 2013-9-19 19:28 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼单个进程能拥有的句柄数，同三级表及其中某些位的占用有关，一般来说win8以前可以有一千多万个,win8及以后被占了一些，只有8百万左右了当然，进程不一定就能沾满这个句柄数，因为这个数量还和内存配额有关，如果已经有其它进程占用了大量句柄，那么就无法达到这么多句柄数 2013-9-20 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 7 关注私信	KiDebug 4 2 楼上传的附件： QQ图片20130918233005.jpg （70.44kb，1次下载） 2013-9-18 23:30 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼貌似ObpCreateHandle可以指定是否使用内核句柄表（即system进程的句柄表），决定的参数由上一层传入，而不论是那种似乎都会增加句柄计数吧。。。回到ObOpenObjectByName又发现这个参数是更上一层传来的… 2013-9-18 23:43 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 4 楼而且…为啥这幅图里只有一个超过226的。。 2013-9-18 23:46 0
exediy 雪币： 227 活跃值： (450) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 654 粉丝 4 关注私信	exediy 1 5 楼三层句柄表。。。。。三层。。。。 2013-9-19 02:15 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 6 楼知道这个，就是没明白潘爱民老师那句话啥意思 2013-9-19 08:38 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 7 楼根据楼上的楼上 256的3次方 = 1677 7216 ,也就是能有1千多万个句柄, 2013-9-19 09:31 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 8 楼好像是这样... 2013-9-19 09:33 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼 _HANDLE_TABLE_ENTRY的尺寸是8byte 理论上的最大数量是(pagesize/sizeof(PVOID))^2 * pagesize/sizeof(_HANDLE_TABLE_ENTRY)，IA32下为1024^2*512 不过微软加了额外的限制，因为内核中不可能有那么多的对象这些都是很明白的，但令人费解的是书中的这段话：现在我们来看如何将一个句柄解析成相应的内核对象。首先，一个有效的句柄有4种可能： -1，代表当前进程。 -2，代表当前线程。负值，其绝对值为内核句柄表中的索引。仅限于内核模式的函数可以引用。不超过226 的正值，当前进程的句柄表中的索引。 2013-9-19 14:06 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 10 楼难道是笔误？ 2013-9-19 18:15 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 11 楼怀疑中…… 但是为啥要刻意加上这一条 2013-9-19 18:37 0
exediy 雪币： 227 活跃值： (450) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 654 粉丝 4 关注私信	exediy 1 12 楼可以借鉴下你楼上的楼上的文章: 7c3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4y4h3k6S2j5$3S2A6L8r3I4A6M7#2)9J5c8X3W2@1k6h3#2Q4x3V1k6V1y4K6k6V1k6o6p5&6k6X3q4S2y4U0j5H3k6e0S2V1y4e0V1I4y4o6j5I4x3h3p5`. 2013-9-19 19:28 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼单个进程能拥有的句柄数，同三级表及其中某些位的占用有关，一般来说win8以前可以有一千多万个,win8及以后被占了一些，只有8百万左右了当然，进程不一定就能沾满这个句柄数，因为这个数量还和内存配额有关，如果已经有其它进程占用了大量句柄，那么就无法达到这么多句柄数 2013-9-20 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复