Home Sign Up Sign In
hkitdog
V2EX  ›  问与答

win10 1709 中 gSharedInfo->aheList->phead 是句柄吗,如何转换成其对应的内核对象地址

  •   
  •   hkitdog · Apr 2, 2019 via iPhone · 1305 views
    This topic created in 2636 days ago, the information mentioned may be changed or developed.
    最近研究 gSharedInfo 的句柄表,发现 1709 系统不再像 1607 之前那样 aheList 的 phead 直接指向一个对象的内核地址了,而是小于 0x10000 的按 4 对齐的数,这玩意能直接转换成相应对象的地址吗?
    typedef struct _HANDLEENTRY
    {
    UINT64 pHead;
    UINT64 pOwner;
    UINT64 Unknown;
    BYTE bType;
    BYTE bFlags;
    WORD wUniq;
    INT padding;
    }HANDLEENTRY, *PHANDLEENTRY;
    目前还不知道这个新的 HANDLEENTRY 中的 phead、Unknown 和 padding 表示什么,请大家多多指教!
    No Comments Yet
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2581 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:41 · PVG 20:41 · LAX 05:41 · JFK 08:41
    ♥ Do have faith in what you're doing.