本文源自《Windows内核原理与实现》第3章Windows 进程和线程

3.4.1 Windows 进程的句柄表（1）

上一章介绍了Windows 内核中的对象管理器，Windows 执行体实现了一套对象机制来管理各种资源或实体。每种对象都有一个类型对象，类型对象定义了该类对象的一些特性和方法。对象管理器也定义了一个全局名字空间，提供了根据名称来解析对象的统一机制（参考ObpLookupObjectName 函数）。类型对象通过提供自定义的Parse 方法可以扩展此名字空间。对象管理器中的对象是执行体对象，它们位于系统空间；在进程空间不能通过地址来引用它们。Windows 使用句柄（handle）来管理进程中的对象引用。

当一个进程利用名称来创建或打开一个对象时，将获得一个句柄，该句柄指向所创建或打开的对象。以后，该进程无须使用名称来引用该对象，使用此句柄即可访问。这样做可以显著地提高引用对象的效率。句柄是一个在软件设计中被广泛使用的概念。例如，在C 运行库中，文件操作使用句柄来表示，每当应用程序创建或打开一个文件时，只要此创建或打开操作成功，则C 运行库返回一个句柄。以后应用程序对文件的读写操作都使用此句柄来标识该文件。而且，如果两个应用程序以共享方式打开了同一个文件，那么，它们将分别得到各自的句柄，且都可以通过句柄操作该文件。尽管两个应用程序得到的句柄的值并不相同，但是这两个句柄所指的文件却是同一个。因此，句柄只是一个对象引用，同一个对象在不同的环境下可能有不同的引用（句柄）值。

在Windows 中，句柄是进程范围内的对象引用，换句话说，句柄仅在一个进程范围内才有效。一个进程中的句柄传递给另一个进程后，句柄值将不再有效。实际上，Windows支持的句柄是一个索引，指向该句柄所在进程的句柄表（handle table）中的一个表项。在上一节我们看到，EPROCESS 数据结构的ObjectTable 域指向进程的句柄表。句柄表的第一个索引为4，第二个为8，依此类推。一个进程的句柄表包含了所有已被该进程打开的那些对象的指针。下面我们来看句柄表的实现结构。

在Windows Server 2003 中，句柄表是一个多层结构。ObjectTable 的类型为HANDLE_TABLE，每个句柄项的结构为HANDLE_TABLE_ENTRY，它们的定义参见base\ntos\inc\ex.h 文件。HANDLE_TABLE_ENTRY 的大小为8 B，而且Windows 执行体在分配句柄表内存时按页面（4 KB 大小）来申请内存。因此，执行体每申请一个新的页面来存放句柄项，则句柄表的容量增加512。下面是HANDLE_TABLE 结构的定义：

 
 
  

   
typedef struct _HANDLE_TABLE {  
   
ULONG_PTR TableCode; // 指向句柄表的存储结构，见下文介绍  
   
struct _EPROCESS *QuotaProcess; // 句柄表的内存资源记录在此进程中  
   
HANDLE UniqueProcessId; // 创建进程的ID，用于回调函数  
   
EX_PUSH_LOCK HandleTableLock[HANDLE_TABLE_LOCKS]; // HANDLE_TABLE_LOCKS=4 
   
// 句柄表锁，仅在句柄表扩展时使用  
   
LIST_ENTRY HandleTableList; // 所有的句柄表形成一个链表  
   
// 链表头为全局变量HandleTableListHead  
   
EX_PUSH_LOCK HandleContentionEvent; // 若在访问句柄时发生竞争，则在此推锁上等待  
   
PHANDLE_TRACE_DEBUG_INFO DebugInfo; // 调试信息，仅当调试句柄时才有意义  
   
LONG ExtraInfoPages; // 审计信息所占用的页面数量  
   
ULONG FirstFree; // 空闲链表表头的句柄索引，见下文介绍  
   
ULONG LastFree; // 最近被释放的句柄索引，用于FIFO 类型空闲链表  
   
ULONG NextHandleNeedingPool; // 下一次句柄表扩展的起始句柄索引  
   
LONG HandleCount; // 正在使用的句柄表项的数量  
   
union {  
   
ULONG Flags; // 标志域  
   
BOOLEAN StrictFIFO : 1; // 是否使用FIFO 风格的重用，即先释放先重用  
   
};  
   
} HANDLE_TABLE, *PHANDLE_TABLE; 
  

HANDLE_TABLE 中的TableCode 域是一个指针，指向句柄表的最高层表项页面，它的低2 位的值代表了当前句柄表的层数。也就是说，如果TableCode 的最低2 位为0，说明句柄表只有一层， 此种情况下该进程最多只能容纳512 个句柄（ 宏定义LOWLEVEL_THRESHOLD）；如果TableCode 的最低2 位为1，则说明句柄表有两层，此种情况下该进程可容纳的句柄数是512×1 024（宏定义MIDLEVEL_THRESHOLD），即TableCode 指向一个中间层句柄表页面，该页面包含1 024 个指针，每个指向一个最低层句柄表页面；如果TableCode 的最低2 位为2，则说明句柄表有三层，此种情况下三层树结构可容纳的句柄数是512×1 024×1 024（宏定义HIGHLEVEL_THRESHOLD），但Windows 执行体限定每个进程的句柄数不得超过224=16 777 216（宏定义MAX_HANDLES）。图3.4 显示了这三种情形。实际上，在每个最低层句柄表页面中，第一个句柄表项都有特殊用途（参见本节后文介绍），真正供进程使用的句柄表项是511 个。

（点击查看大图）图3.4 Windows 进程的句柄表结构

执行体在创建进程时，首先为新进程分配一个单层句柄表。句柄表的创建工作是通过调用ExCreateHandleTable 函数来完成的，该函数调用ExpAllocateHandleTable 来构造初始的句柄表。随着进程中句柄数量的增加，单层句柄表被扩展为二层句柄表，再进一步被扩展为三层句柄表。句柄表的扩展是由函数ExpAllocateHandleTableEntrySlow 来实现的。这些函数的实现代码位于base\ntos\ex\handle.c 文件中。

在句柄表HANDLE_TABLE 结构中，FirstFree 域记录了当前句柄表中的空闲句柄链，这是一个单链表，但并非通过指针链接起来，而是用句柄索引值来链接。句柄索引值按HANDLE_VALUE_INC 逐个递增，这是个宏定义，其值为4。FirstFree 域指示了链表头的句柄索引值，HANDLE_TABLE_ENTRY 结构中的NextFreeTableEntry 成员等于下一个空闲句柄的句柄索引值。因此，当进程在执行过程中需要创建新的句柄时，执行体可以直接从空闲句柄链表头得到一个句柄， 新的链表头变成原来链表头的NextFreeTableEntry，参见ExpAllocateHandleTableEntry 函数的代码；而当释放句柄时，将待释放的句柄索引赋给FirstFree，且该句柄项的NextFreeTableEntry 赋为原来的FirstFree，参见ExpFreeHandleTableEntry 函数的代码。另外，HANDLE_TABLE 结构的NextHandleNeedingPool 域记录了下一次句柄表扩展的起始句柄索引，相当于当前句柄表中所有已分配页面都满了以后下一个页面的起始句柄索引。所以，Windows 进程的句柄表只是简单地线性增长，但只有当确实不够用的时候才会增长。

理解了Windows 进程句柄表的结构以后，我们来看一下句柄表项的内容和句柄本身。句柄表项的类型为HANDLE_TABLE_ENTRY，虽然只包含两个32 位的union，但是其含义非常丰富。HANDLE_TABLE_ENTRY 的定义如下：

 
 
  

   
typedef struct _HANDLE_TABLE_ENTRY {  
   
union {  
   
PVOID Object; // 指向句柄所代表的对象  
   
ULONG ObAttributes; // 最低三位有特别含义，参见  
   
// OBJ_HANDLE_ATTRIBUTES 宏定义  
   
PHANDLE_TABLE_ENTRY_INFO InfoTable; // 各个句柄表页面的第一个表项  
   
// 使用此成员指向一张表  
   
ULONG_PTR Value;  
   
};  
   
union {  
   
union {  
   
ACCESS_MASK GrantedAccess; // 访问掩码  
   
struct { // 当NtGlobalFlag 中包含  
   
// FLG_KERNEL_STACK_TRACE_DB 标记时使用  
   
USHORT GrantedAccessIndex;  
   
USHORT CreatorBackTraceIndex;  
   
};  
   
};  
   
LONG NextFreeTableEntry; // 空闲时表示下一个空闲句柄索引  
   
};  
   
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY; 
  

3.4.1 Windows 进程的句柄表（2）

第一个union 的关键成员是Object 指针，指向句柄所代表的内核对象，它的最低3 位有特别含义：第0 位OBJ_PROTECT_CLOSE，表示调用者是否允许关闭该句柄；第1 位OBJ_INHERIT，指示该进程所创建的子进程是否可以继承该句柄，即是否将该句柄项拷贝到它们的句柄表中；第2 位OBJ_AUDIT_OBJECT_CLOSE，指示关闭该对象时是否产生一个审计事件。在第二个union 中，如果句柄表项指向一个有效的对象，那么，GrantedAccess 成员记录了该句柄的访问掩码；如果这是一个空闲的句柄表项，那么，NextFreeTableEntry 成员将加入到句柄表的空闲单链表中。

一种特殊的情形是，对于每个最低层句柄表页面中的第一个句柄表项，它的NextFreeTableEntry 成员等于EX_ADDITIONAL_INFO_SIGNATURE，即.2，并且第一个union 中的InfoTable 成员指向一张HANDLE_TABLE_ENTRY_INFO 表，其中每一项代表了该页面中对应序号处的句柄表项的审计掩码。

另外值得一提的是，在WRK 代码中，关于Object 域的最低位，即第0 位，作为OBJ_PROTECT_CLOSE 来解释有一点微妙。实际上，关闭保护位被转移到了GrantedAccess成员中，而Object 域的第0 位变成了句柄表项的锁标志。如何将关闭保护位转移到GrantedAccess 成员中呢？可以参考宏ObpEncodeProtectClose 和ObpGetHandleAttributes。因此，事实上，当Object 域的第0 位为1 时，表示此句柄表项已被锁住；否则表示该项未被锁住。

现在我们来看如何将一个句柄解析成相应的内核对象。首先，一个有效的句柄有4种可能：

-1，代表当前进程。

-2，代表当前线程。

负值，其绝对值为内核句柄表中的索引。仅限于内核模式的函数可以引用。

不超过226 的正值，当前进程的句柄表中的索引。

这里的内核句柄表是指系统空间中的全局句柄表， 在WRK 中即变量ObpKernelHandleTable，也是System 进程的句柄表。ObpKernelHandleTable 中的句柄只有在内核模式下才可以被引用，但可以位于任何一个进程环境中。所以，这些句柄实际上是跨进程环境的。有些系统组件和设备驱动程序可以利用这样的设施来创建或打开可在任何进程环境下访问的句柄，但是又不让用户模式代码引用它们。

解析句柄的基本函数是ObReferenceObjectByHandle，其代码位于base\ntos\ob\obref.c文件中的1 060~1 351 行。该函数首先对接收到的Handle 参数进行判断，看属于以上四种情形的哪一种。对于前两种情形，无须查找句柄表，在简单地检查进程或线程的访问权限以后，即可返回所引用的进程对象或线程对象。对于后两种情形，首先调用执行体函数ExMapHandleToPointerEx，按照句柄表的结构，找到该句柄的索引值所指的句柄表项，然后检查句柄表项中的访问权限是否满足要求，并根据需要对这次对象访问进行审计（调用ObpAuditObjectAccess ） ， 最后返回对象体。ExMapHandleToPointerEx 函数调用xpLookupHandleTableEntry 来查找句柄表项，而ExpLookupHandleTableEntry 则直截了当地根据图3.4 所示的结构查找到最低层句柄表页面中的表项。

将一个对象插入到句柄表中的函数是ObInsertObject，其代码位于base\ntos\ob\obinsert.c 文件中。它首先对参数做各种检查，然后调用ObpCreateHandle 函数，为要插入的对象创建一个句柄。ObpCreateHandle 函数又调用ExCreateHandle 来创建一个句柄表项，并填充新建的表项。这些函数的代码比较直截了当，这里不再赘述。

另外值得一提的是对象的引用计数。正如2.5.1 节的最后部分所讲，对象的引用有两种来源：第一，在内核中直接通过对象地址来引用，这是通过ObReferenceObjectByPointer来记录一次新的引用；第二，通过句柄来引用对象，这是由ObpIncrementHandleCount 函数来检查并记录一次句柄引用。对于一个句柄，它的生命周期从被插入到句柄表中开始，一直到它被关闭，在此过程中，对象的引用计数中包含有它的一份引用。在WRK 代码中，我们可以看到，ObpCreateHandle 调用了ObpIncrementHandleCount，标志着新创建的句柄引用了该对象；ObpCloseHandle 函数调用了ObpCloseHandleTableEntry，而后者又进一步调用了ObpDecrementHandleCount，标志着一个句柄结束了相应对象的引用。另外，在一个句柄上调用了ObReferenceObjectByHandle 函数以后，若该对象指针不再使用，则必须调用ObDereferenceObject 函数。

句柄表除了作为对象引用的容器以外，还有另一个用法：作为分配进程和线程的唯一ID 的有效手段。进程有一个唯一ID，称为UniqueProcessId；线程有一个CLIENT_ID 成员Cid，其中包含了所属进程的唯一ID 和线程自身的唯一ID。这些唯一ID 是怎么生成的呢？它们是通过调用ExCreateHandle 函数，在一个全局的句柄表PspCidTable 中创建的句柄索引值。此句柄表也称为CID 句柄表（Client ID handle table），它没有被加入到系统的句柄表链表中。CID 句柄表中的每个句柄表项都包含了进程或线程的对象地址。

因此，进程和线程的唯一ID 值都是4 的倍数，其中4 是第一个句柄索引值，它被分配给System 进程的唯一ID（因为System 进程是第一个通过PspCreateProcess 函数创建的进程）。0 是专门保留给空闲进程的，它并非通过ExCreateHandle 函数而获得。CID 句柄表严格按照FIFO 来重用句柄表项，所以，一个句柄表项被释放以后，要等到其他的空闲句柄表项都被重用一遍以后才会被再次使用。由于CID 句柄表项保存了进程或线程的对象地址，所以，在内核中，根据进程或线程的唯一ID 值，总是可以很方便地找到相应的对象地址，函数PsLookupProcessThreadByCid、PsLookupProcessByProcessId 和PsLookup-ThreadByThreadId 正是利用了CID 句柄表的这一能力，参见base\ntos\ps\pscid.c 文件中的代码。