文章目录

• 进程和程序
• 内核对象
• • 何为内核对象
  • • 系统4环结构
    • 内核对象数据结构
    • 句柄
    • 使用计数Counter
    • 安全描述符SecurityDescriptor
    • • 内核对象的安全性
      • SECURYITY_ATTRIBUTES 结构体
  • 进程内核对象句柄表
  • • 进程的句柄表结构
    • 创建一个内核对象
    • • 进程的创建
      • 句柄与进程的关系
      • 句柄值 INVAILD_HANDLE_VALUE和NULL
    • 关闭内核对象
    • • 关闭内核对象过程
  • 跨进程边界共享内核对象
  • • 使用对象句柄继承
    • • 创建子进程过程
      • 其他进程间通信技术
    • 改变句柄的标志
    • 为对象命名
    • • Create*和Open*区别
    • 终端服务命名空间
    • • 确认进程在哪个终端服务会话中运行
    • 专有命名空间
    • • checkInstances函数
    • 复制对象句柄
• 工具
• • winObj 查看所有内核对象及当前计数
  • ProcessExplorer 查看所有进程状态
• 总结