Win32进程概念及句柄表与内核对象深度解析

本文介绍了win32进程中的句柄表和内核对象概念，句柄表是进程表中用于存储进程所打开文件和其他资源信息的部分，是进程操作资源的重要数据结构，内核对象是Windows操作系统内核中用于管理进程间通信和同步的机制，理解句柄表和内核对象的原理对于深入了解Windows系统进程管理和资源控制至关重要。

句柄表与内核对象的概述

我们需要了解句柄表与内核对象的基本概念,当我们使用CreateProcess函数创建一个新进程时，系统会返回一个进程句柄和一个线程句柄，为了管理这些信息，内核会生成一个EPROCESS结构来保存进程信息，这些内核对象位于高两G的地址空间，无法直接访问，为了解决这个问题，Windows创建了一个句柄表，并返回这个表的索引，我们日常操作的就是这个索引。

句柄表就像是一个索引表,它帮助我们访问内核对象，当我们想要操作一个进程或者线程时，我们实际上是在操作这个进程或线程的句柄表中的索引，而内核对象则是我们在操作系统中创建的各种资源，如进程、线程、文件、互斥体等。

内核对象的种类与操作

内核对象有很多种,包括但不限于：Access token、Communications device、Console input、Console screen buffer等，这些对象可以操作事件、文件、互斥体、线程等，当我们想要操作这些内核对象时，可以通过Windows提供的API来实现，如CloseHandle API。

多进程共享内核对象

在Windows程序中,多进程之间可以共享内核对象，有两种主要方法可以实现：

1. 使用OpenProcess API：每个进程的句柄表都是私有的，如果想要在另一个进程中访问某个内核对象，必须使用OpenProcess API打开该内核对象，这样，其他进程就可以通过这个API获得对应内核对象的引用，从而实现共享。
2. 使用继承句柄技术：当A进程创建B进程时，或者某些带有内核对象的API在创建时，可以通过设置安全属性（SD属性）来决定创建的句柄是否可以被继承，这样，新创建的进程就可以继承父进程的句柄，从而实现对内核对象的共享。

关于引用计数与内核对象的销毁：每次引用内核对象，其引用计数就会增加，当CloseHandle API被调用时，引用计数会减1，只有当内核对象的引用计数为0时，它才会被销毁，但需要注意的是，线程的内核对象在引用计数为0时并不会被关闭，必须先关闭线程后再使用CloseHandle来减少引用计数。 修正了错别字并修饰了语句，同时进行了适当的补充，使其更加清晰易懂。