ExpLookupHandleTableEntry

2023-05-16

wrk1.2中
ExpLookupHandleTableEntry的内部流程
1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置0
2) 取 HandleTable->NextHandleNeedingPool为MaxHandle ,
   如果 tHandle大于等于MaxHandle,则返回NULL,查询失败
   (由此可见, NextHandleNeedingPool 应该是当前句柄表的最大句柄值+1
    或者说是下一个可用的句柄值)
3) 取 CapturedTable(ULONG_PTR类型)为HandleTable->TableCode
   取 TableLevel(ULONG)为(CapturedTable & LEVEL_CODE_MASK);
      (LEVEL_CODE_MASK=3,即由HandleTable->TableCode的低2位来指定句柄表的级数)
   CapturedTable 减去 TableLevel (即CapturedTable的低2位置0)
4) 根据 TableLevel 来进行不同方式的查找

    令:
    PCHAR TableLevel1; 最低层的表指针
    PCHAR TableLevel2; 中间层的表指针
    PCHAR TableLevel3; 最上层的表指针
    ULONG_PTR i; 最低层的表索引
    ULONG_PTR j; 中间层的表索引
    ULONG_PTR k; 最上层的表索引
    PHANDLE_TABLE_ENTRY Entry 最后找到的句柄项目的指针

a) TableLeve = 0    句柄表只有1级,此时CapturedTable只是一个大小为512(4K/8=512)
     的HANDLE_TABLE_ENTRY数组,Handle的高30位即是索引.
     (当然,实际上因为一级表为512项,所以其实只有2~10 9位为有效索引,其中11~31位在
     第二步中被检查过,必为0).

     由于每个HANDLE_TABLE_ENTRY大小为8,所以对应的Entry相对于表起始地址的偏移
     为 Handle.Value>>2 * 8
  TableLevel1 = CapturedTable;
        Entry = TableLevel1 + (Handle.Value>>2) * 8
              = TableLevel1 + Handle.Index * 8
              = TableLevel1 + Handle.Value * 2 (因为第1步中已经将低2位置0了)

    wrk 1.2中代码如下

      Entry = (PHANDLE_TABLE_ENTRY) &TableLevel1[Handle.Value *
                               (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC)];

      其中HANDLE_VALUE_INC在EXHANDLE结构中定义,值是4

b) TableLeve = 1   句柄表有2级,
     第1层存储的是第2层表的指针(大小为4字节).
     第2层存储的是HANDLE_TABLE_ENTRY(大小为8个字节)

     句柄的2~10位为最底层表(第2层)的索引,11~N位为中间层表(第1层)索引
     (注:N的值从3层句柄表的情况看,应该为)

     wrk 1.2中的代码及分析如下
     +++++++++++++++++++++++++++++++++++++++++++++++
     i = Handle.Value % (LOWLEVEL_COUNT * HANDLE_VALUE_INC);
       /*
       = Handle.Value % 0x800
       = Handle & 0x7FF
       等效作用是取低11位
       */

     Handle.Value -= i; 低11位置0

     j = Handle.Value / ((LOWLEVEL_COUNT * HANDLE_VALUE_INC) / sizeof (PHANDLE_TABLE_ENTRY));
       /*
       = Handle.Value / (0x800 / 4)
       = (Handle.Value >> 11) * 4
       等效如下代码,实际上是取11~N为位为索引,并乘以4,得到中间表的表中偏移
       */

     TableLevel2 = (PUCHAR) CapturedTable;
     TableLevel1 =  *(PUCHAR)(TableLevel2 + j);
     Entry = TableLevel1+ (i * (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC));
           /*
           = TableLevel1+ (i*2)
           = TableLevel1+ ((i>>4) * 8)
           等效于最低层表索引(2~10位)乘以sizeof(HANDLE_TABLE_ENTRY),得到表中偏移.
           */
     ------------------------------------------------

c) TableLeve = 2  句柄表有3层
     第1层存储的是第2层表的指针(大小为4字节).
     第2层存储的是第3层表的指针(大小为4字节).
     第3层存储的是HANDLE_TABLE_ENTRY(大小为8个字节)

     句柄的2~10位为最底层表(第3层)的索引,11~20位为中间层表(第2层)索引,
     20~N位为第一层索引(因为第1层最有4K/4个元素,索引应该也为10位,故推测
     N实际上应该为30)

     wrk 1.2中的代码及分析如下
     +++++++++++++++++++++++++++++++++++++++++++++++
     i = Handle.Value  % (LOWLEVEL_COUNT * HANDLE_VALUE_INC);

     Handle.Value -= i; 低11位清0

     k = Handle.Value / ((LOWLEVEL_COUNT * HANDLE_VALUE_INC) / sizeof (PHANDLE_TABLE_ENTRY));
       /*
       = Handle.Value / (0x800 / 4)
       = (Handle.Value >> 11) * 4
       k取句柄的11~N为位,并乘以4
       */

     j = k % (MIDLEVEL_COUNT * sizeof (PHANDLE_TABLE_ENTRY));
       /*
       = k % (4K/4 * 4)
       = k % 0x1000
       = k & 0xFFF
       取k的低12位,实际上就是:句柄的11~20位为索引 * 4
       */

     k -= j; k的低12位清0

     k /= MIDLEVEL_COUNT;
       /*
       = k / (4k/4)
       = k / 0x1000
       = k >> 10
       取k的高10~N位,实际上就是句柄的21~N位为索引再乘以4
       */

     TableLevel3 = (PUCHAR) CapturedTable;
     TableLevel2 = (PUCHAR) *(PHANDLE_TABLE_ENTRY *) &TableLevel3[k];
     TableLevel1 = (PUCHAR) *(PHANDLE_TABLE_ENTRY *) &TableLevel2[j];
     Entry = (PHANDLE_TABLE_ENTRY) &TableLevel1[i * (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC)];

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

ExpLookupHandleTableEntry

ExpLookupHandleTableEntry 的相关文章

Pid控制算法-变积分的pid算法的C++实现

PID控制算法的C 43 43 实现七变积分的PID控制算法C 43 43 实现变积分PID可以看成是积分分离的PID算法的更一般的形式在普通的PID控制算法中 xff0c 由于积分系数ki是常数 xff0c 所以在整个控制过程中
Ceres Solver 在Windows下安装配置笔记

引子因为项目需要用到Ceres Solver这个库实现非线性优化 xff0c 这几天投入了很多时间来学习研究没想到的是 xff0c 这个库的安装就非常繁琐官方的安装指南写的却过于简略尤其是在Windows环境下 xff0c 问题bu
STM32开发选择CubeIDE还是keil

一 xff0c 先说结论 xff1a 选择keil MDK 二 xff0c 原因 xff1a 1 xff0c 优势 cubeIDE代码编辑能力确实比keil方便包括 xff1a 代码提示 xff0c 自己可以网上找个代码自动补全插件 xf
cmake(三十一)Cmake之get_filename_component指令

一基础知识 cmake获取 39 文件名 39 的 39 特定 39 部分 xff0c 提供了 39 三种 39 调用方式注意 xff1a 39 key 39 关键字方式1 方式2 方式3 二实践 xff08 1 xff09 路径
cmake(三十九)Cmake之execute_process指令

一官网博客用途 xff1a 执行一个或多个 39 子进程 39 场景 xff1a 通过git命令 39 读取版本号 39 在代码中使用列出某些 39 文件的名称 39 在代码中使用 1 按指定的 39 先后顺序 39 运行一个或多个命
（实测有用）登录Github显示“您的连接不是专用连接”和”GitHub.com拒绝了我们的连接请求“解决办法！！！

在之前使用GitHub的时候还有问题 xff0c 今天上github的时候出现了 http GitHub com拒绝了我们的连接请求 xff0c 查阅相关资料之后 xff0c 解决了这个问题亲测有效 xff01 xff01 xff01 x
SUMO入门(三) - 抽象路网生成（NETGENERATE）

SUMO入门三抽象路网生成 Networks Abstract Network Generation NETGENERATE允许生成三种类型的抽象网络 xff1a 网格grid xff0c 蜘蛛spider xff0c 随机random
为什么越来越多的企业选择云计算？—分析云计算的优势和未来发展趋势

文章目录一什么是云计算 xff1f 二为什么越来越多的企业选择云计算 xff1f 三云计算的优势和未来发展趋势3 1 云计算的优势3 2 未来发展趋势一什么是云计算 xff1f 云计算是一种基于互联网的计算模式 xff0c 它可
图像配准代码（包含matlab/opencv C++）

1 论文链接 https ieeexplore ieee org abstract document 7769090 2 gitHub源代码链接 https github com wenzelian Image Registration
SLAM-ch3-实践Eigen

1 eigenMatrix cpp include lt iostream gt include lt ctime gt include lt eigen3 Eigen Core gt include lt eigen3 Eigen Den
ubuntu中使用VsCode+Eigen创建Eiegn应用程序

Visual studio code是微软发布的一个运行于 Mac OS X Windows和 Linux 之上的 xff0c 针对于编写现代 Web 和云应用的跨平台源代码编辑器 1 VsCode安装 VScode官网下载 deb文件网
ubuntu+VsCode+Cmake+eigen 开发eigen应用

以下内容参见官方文档 xff1a https code visualstudio com docs cpp cmake linux 1 安装Cmake工具点击左侧的Extensions 搜索Cmake tools 这里已经安装 2 安装C
树莓派 Ubuntu mate 18.04 下开启vncserver

1 安装 vncserver sudo apt get y install vnc4server 2 启动 vncserver xff08 首次启动需要设置密码 xff09 vncserver Ubuntu mate里面是 mate des
树莓派 Ubuntu mate 18.04 修改为清华源

1 备份源 cp etc apt sources list etc apt sources list bck 2 root身份打开 etc apt sources list 将每个 http ports ubuntu com 都替换为 ht
动手学深度深度学习-pycharm中配置mxnet开发环境

1 文件准备 1 下载包含本书全部代码的压缩包我们可以在浏览器的地址栏中输https zh d2l ai d2l zh 1 0 zip 下载后解压 2 由于近来 2019 05 05 国内conda源被迫关闭 xff0c 因此通过cond
dbm和db的关系与区别

db是无量纲单位 xff0c 它表示两个信号之间的幅度差 dbm是有量纲单位 xff0c 它表示以1毫瓦为基准时的计量单位 1 dbm dbm是一个考征功率绝对值的值 xff0c 计算公式为 xff1a 10lg10 xff08 P 1mw
linux.和stm32驱动的区别

linux下的驱动和stm32驱动的区别 xff1f stm32的驱动分为2部分 xff0c 初始化和发送接收数据 xff0c 这个理论概括了spi xff0c iic xff0c uart xff0c sdio xff0c usb 在li
SUMO入门(四) - 需求建模车辆和路线的定义

SUMO入门四需求建模车辆和路线的定义 Demand Introduction to demand modelling in SUMO 在生成网络之后 xff0c 可以使用SUMO GUI来查看它 xff0c 但是没有汽车可以行驶人
图像处理特征可视化方法总结（特征图、卷积核、类可视化CAM）(附代码)

一前言众所周知 xff0c 深度学习是一个 34 黑盒 34 系统它通过 end to end 的方式来工作 xff0c 输入数据例如RGB图像 xff0c 输出目标例如类别标签回归值等 xff0c 中间过程不可得知如何才能打开

随机推荐

deian10 安装aptitude

debian10系统不会默认安装aptitude xff0c 导致需要处理大量依赖关系的软件安装变得很麻烦常规的apt源可以安装aptitude xff0c 但是需要手动处理大量的依赖包安装可以通过如下apt源使用apt get来安装a
DJI OSDK开发笔记（N3飞控）（1）——开发工作流程

DJI OSDK开发笔记 xff08 N3飞控 xff09 xff08 1 xff09 开发工作流程 API层次结构硬件设置一般设置数据串口连接器引脚排列连接到记载计算机软件环境设置所有平台下载SDK和所需工具更新固件启用OSDK AP
Windows Vista 交互式服务编程

Windows Vista 对快速用户切换 xff0c 用户账户权限 xff0c 以及服务程序所运行的会话空间都作了很大的改动 xff0c 致使一些原本可以工作的程序不再能够正常工作了 xff0c 我们不得不进行一些改进以跟上 Vista
Windows2000 服务器端应用程序开发设计指南－信任成员的管理

Microsoft的开发者已经完成Microsoft Windows 2000安全性特色的设计工作 xff0c 这些安全性特色比大多数人所习惯的环境更复杂且更有弹性事实上 xff0c 若加上适当的管理和软件开发 xff0c Windows
NoDriveTypeAutoRun键值的作用

常见的Autorun inf文件格式大致如下 xff1a AutoRun 表示AutoRun部分开始 xff0c 必须输入 icon 61 C ixigua ico 指定给C盘一个个性化的盘符图标C ico open 61 C ixigua
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取 .

为什么要写这篇文章 1 因为最近在学习软件调试这本书 xff0c 看到书中的某个调试历程中讲了Windows 的系统调用的实现机制 xff0c 其中讲到了从Ring3 跳转到Ring0 之后直接进入了KiFastCallEntry 这个
ubuntu rc.local不能正常运行

查了下rc local有时不能正常运行的原因 xff1a Ubuntu默认将 bin sh链接到 bin dash xff0c 而 etc rc local脚本中用的正是 bin sh xff0c 导致出错将默认的shell改成bash的
关于建设symbol store的建议

xfeff xfeff 一 symbol store的需求分析 xff1a 1 我们现在的调试环境严重依赖开发人员自己使用的开发环境 xff0c 缺点在于其他人要进行调试要么搭建一个同样的环境 xff0c 严重地占去大家不必要花费的工作时间
进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM

有人投到黑防去了 xff0c 不过黑防不厚道 xff0c 竟然没给完整的代码 xff0c 自己整理一份备用吧 xff0c 驱网 DebugMan 邪八的那群人直接飘过吧这种方法的关键在于给线程的ETHREAD CrossThreadFla
CNN实现入侵检测（kdd99）

文章目录 1 实验说明2 实验过程2 1 数据预处理2 1 1 导入数据2 1 2 one hot编码2 1 3 归一化2 1 4 标签编码 2 2 数据加载2 3 搭建模型2 4 模型训练 3 实验结果4 完整代码 1 实验说明 CNN模
All about VDIs

This tutorial is an experiment to see if forum users find it useful to have a single collected reference for some common
PUTTY无法远程连接服务器故障解决

对于一个刚刚了解putty工具的新手来说 xff0c 在putty工具使用中有时出现了问题而无法解决今天就来介绍怎么解决putty无法远程连接服务器的故障用putty远程连接服务器时提示错误 server unexpectedlycl
驱动中获取进程名的正确方法

这是个古老的话题 xff0c 没有技术含量 xff0c 只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS ImageFileName xff0c 感觉比较误导新人这个方法其实很不科学 xff0c 硬编码偏移带来的兼
C语言写二进制数据到mysql的Blob字段

引子由于调试需要 xff0c 需直接往数据库里写入二进制数据本来这些数据是由上层软件来写的 xff0c 用的是 C 为了熟悉 C 语言的数据库操作 xff0c 还是决定用 C 来写这段调试代码概况 xff1a 表名 xff1a Tas
编译器链接选项解释：link incrementally的作用

What is ILT xff08 Incremental Link Table 这两天研究了一下DLL的import export原理 xff0c 看了一些资料 xff0c 无意中发现网上有一篇文章存在错误 xff0c 而这篇文章流传还甚
关于涉密信息系统分级保护的几个问题

2003年9月7日 xff0c 中共中央办公厅国务院办公厅转发了国家信息化领导小组关于加强国家信息安全保障工作的意见 xff0c 其中明确提出了开展信息安全等级保护的任务 xff0c 并指出涉及国家秘密的信息系统 xff08 以下简称涉
Launch your application in Vista under the local system account without the UAC popup

This article describes how to launch an application from session 0 to session 1 under the local system account using a s
UTF8ToAnsi 和 AnsiToUTF8

std string UTF8ToAnsi const std string amp strIn std string amp strOut WCHAR strSrc 61 NULL TCHAR szRes 61 NULL int i 61
TCP/IP 配置参数

TCP IP 配置参数 Windows 2000 TCP IP 协议组件实现从注册表中获取全部配置数据配置信息是由安装程序写到注册表中的一些信息也可以由动态主机配置协议 DHCP 客户服务提供 xff08 如启用 xff09 本附录
ExpLookupHandleTableEntry

wrk1 2中 ExpLookupHandleTableEntry的内部流程 1 取 Handle EXHANDLE类型值为tHandle 并将TagBit 低两位置0 2 取 HandleTable gt NextHandleNeed

ExpLookupHandleTableEntry

ExpLookupHandleTableEntry 的相关文章

随机推荐

热门标签