Windows 哪个司机是把手的主人？

有没有办法确定谁是hanlde的车主？ 我的意思是它是否存储在Windows对象的任何位置？ 我可以通过volatity看到句柄，但所有内核句柄都分配给System.exe pid:4，我需要确切地知道哪个驱动程序使用这个系统句柄

谢谢

有没有办法确定哪个司机是这辆车的主人 处理

当内核模块（或内核空间中的线程）调用内核API（例如NtCreateFile）时，句柄是从系统进程的句柄表中分配的。在这种情况下，答案是：不

我的意思是它是否存储在Windows对象的任何位置

我想没有

我需要确切地知道哪个驱动程序正在使用这个系统句柄

依靠你正在做的分析。如果需要将对象关联回拥有它的驱动程序，可以尝试分析_POOL_头结构，以获取有关谁生成了分配的信息。但是，如果需要分析一个执行对象（_fileobject，例如），则此标头中的PoolTag字段将等于ObjectType.Key，因此这种方法对于您的目的不是很有用。

---

通常，如果您正在查找进程可以访问哪些资源（即内存映射文件），则可以使用memmap volatility的插件分析进程的页表以及进程的内存区域。我建议您使用VAD structures的专用插件，以便收集有关进程虚拟地址空间的高级信息。

Windows通常不存储此信息。可能有驱动程序调试工具可以做到这一点，我不确定。所以即使通过句柄的偏移量也不行吗？这些地址在共享内核堆中吗？据我所知，只有一个内核堆。如果驱动程序验证程序正在运行，那么被监视的驱动程序的内存分配可能会被标记，但我不确定这是否包括内核（或另一个驱动程序）代表您分配的内存，例如，用于创建对象的内存。我也不确定打开现有对象的句柄是否涉及分配内存；我猜不会，除非内核句柄表刚好满了。（请注意，虽然我做了一些简单的驱动程序开发，但我不是专家，所以我可能弄错了。）@HarryJohnston感谢HarryTanks的回答：）但是我需要内核级模块的句柄，而不是用户级。例如，假设我的程序有2个DLL+1个executive+1.sys驱动程序。我需要知道司机的把手。波动性有帮助吗？是的。我想您无法获取驱动程序的句柄，因为它们位于进程系统的句柄表中。但是，您可以清楚地了解它访问的资源是什么。如果您想要一个操作系统抽象级别（而不是带有memmap的CPU），您可以解析驱动程序的VAD树（-p PID）。VAD树描述由进程（驱动程序或用户空间）分配的内存范围，这些内存范围可能由进程看到（即映射文件或加载的DLL）。带有--render=dot选项的vadtree插件还为VAD节点着色，将它们与它们所表示的资源相关联。