001_内核对象概述
内核对象概述
内核对象到底意味这什么,句柄本质是什么
用到的工具WinObj
启动需要管理员权限
观察OBjectTypes
枚举出系统当中可能出现的类型,很多看的眼都花了
windows为什么要设计这么多内核对象 ???
为了安全 windows分为 R3 和 R0
R3
完全开放没有监管,谁到可以访问
R0
系统及软件运行的地方 我们并不能访问
例子:
我启动一个线程 和文件做交互,都是R0操作,R3层倒是一个假象,
R3层有一个概念叫进程 ,只是拥有使用权,如果我们想操作,
必须 用 Win API 来操作 ,注意只是发送请求 如果合法 才会修改
R0层有内核对象,如何来区分我要操作那个内核对象 ,于是 Win
API 有一个重要的参数叫做句柄,好像句柄就代表某一个内核对象但是并非如此
句柄的值是不透明的,没有人知道代表的意思是什么,但是句柄只是属于当前进程的