这是一个创建于 1859 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近研究 gSharedInfo 的句柄表,发现 1709 系统不再像 1607 之前那样 aheList 的 phead 直接指向一个对象的内核地址了,而是小于 0x10000 的按 4 对齐的数,这玩意能直接转换成相应对象的地址吗?
typedef struct _HANDLEENTRY
{
UINT64 pHead;
UINT64 pOwner;
UINT64 Unknown;
BYTE bType;
BYTE bFlags;
WORD wUniq;
INT padding;
}HANDLEENTRY, *PHANDLEENTRY;
目前还不知道这个新的 HANDLEENTRY 中的 phead、Unknown 和 padding 表示什么,请大家多多指教!