每个进程都有个句柄表,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄表
第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄表中的一个表项
表项的第一项Object指向某个对象的头部,而该表项在句柄表中的位置则取决于句柄的值。
在Windows内核中句柄表是个三维稀疏数组。HANDLE_TABLE_ENTRY大小为8个字节,由2个32bit组成。如果第一个32bit值不为0,那么第一个32bit就可以转换成一个指向对象头的指针。HANDLE_TABLE_ENTRY第一个32bit的最高位用作标志。当把一个HANDLE_TABLE_ENTRY第一个32bit转换成对象头的指针时,需要把低3bit设为0,最高位设为1。
每当创建或者打开了一个对象,要为之创建句柄并将其插入句柄表的时候,就为其准备一个临时的HANDLE_TABLE_ENTRY数据结构,使其
指向这个对象的头部,然后通过ExCreateHandle()将其安装到句柄表中
ObpKernelHandleTable是ntdll中的一个全局变量,指向系统初始进程SYSTEM的句柄表
PsInitialSystemProcess是一个全局变量,类型为EPROCESS,为系统初始进程SYSTEM