Какая информация содержится в дескрипторе процесса
6.1. Óïðàâëåíèå ïðîöåññàìè
 îñíîâå UNIX ëåæèò êîíöåïöèÿ ïðîöåññà — åäèíèöû óïðàâëåíèÿ è åäèíèöû
ïîòðåáëåíèÿ ðåñóðñîâ. Ïðîöåññ ïðåäñòàâëÿåò ñîáîé ïðîãðàììó â ñîñòîÿíèè
âûïîëíåíèÿ, ïðè÷åì â UNIX â ðàìêàõ îäíîãî ïðîöåññà íå ìîãóò âûïîëíÿòüñÿ
íèêàêèå ïàðàëëåëüíûå äåéñòâèÿ.
Êàæäûé ïðîöåññ ðàáîòàåò â ñâîåì âèðòóàëüíîì àäðåñíîì ïðîñòðàíñòâå.
Ñîâîêóïíîñòü ó÷àñòêîâ ôèçè÷åñêîé ïàìÿòè, îòîáðàæàåìûõ íà âèðòóàëüíûå àäðåñà
ïðîöåññà, íàçûâàåòñÿ îáðàçîì ïðîöåññà.
Ïðè óïðàâëåíèè ïðîöåññàìè îïåðàöèîííàÿ ñèñòåìà èñïîëüçóåò äâà îñíîâíûõ òèïà
èíôîðìàöèîííûõ ñòðóêòóð: äåñêðèïòîð ïðîöåññà
(ñòðóêòóðà proc) è êîíòåêñò ïðîöåññà (ñòðóêòóðà user).
Äåñêðèïòîð ïðîöåññà ñîäåðæèò òàêóþ èíôîðìàöèþ î ïðîöåññå, êîòîðàÿ íåîáõîäèìà
ÿäðó â òå÷åíèå âñåãî æèçíåííîãî öèêëà ïðîöåññà, íåçàâèñèìî îò òîãî, íàõîäèòñÿ
ëè îí â àêòèâíîì èëè ïàññèâíîì ñîñòîÿíèè, íàõîäèòñÿ ëè îáðàç ïðîöåññà â
îïåðàòèâíîé ïàìÿòè èëè âûãðóæåí íà äèñê. Äåñêðèïòîðû îòäåëüíûõ ïðîöåññîâ
îáúåäèíåíû â ñïèñîê, îáðàçóþùèé òàáëèöó ïðîöåññîâ. Ïàìÿòü äëÿ òàáëèöû
ïðîöåññîâ îòâîäèòñÿ äèíàìè÷åñêè â îáëàñòè ÿäðà. Íà îñíîâàíèè èíôîðìàöèè,
ñîäåðæàùåéñÿ â òàáëèöå ïðîöåññîâ, îïåðàöèîííàÿ ñèñòåìà îñóùåñòâëÿåò
ïëàíèðîâàíèå è ñèíõðîíèçàöèþ ïðîöåññîâ. Â äåñêðèïòîðå ïðÿìî èëè êîñâåííî
(÷åðåç óêàçàòåëè íà ñâÿçàííûå ñ íèì ñòðóêòóðû) ñîäåðæèòñÿ èíôîðìàöèÿ î
ñîñòîÿíèè ïðîöåññà, ðàñïîëîæåíèè îáðàçà ïðîöåññà â îïåðàòèâíîé ïàìÿòè è íà
äèñêå, î çíà÷åíèè îòäåëüíûõ ñîñòàâëÿþùèõ ïðèîðèòåòà, à òàêæå åãî èòîãîâîå
çíà÷åíèå — ãëîáàëüíûé ïðèîðèòåò, èäåíòèôèêàòîð ïîëüçîâàòåëÿ, ñîçäàâøåãî
ïðîöåññ, èíôîðìàöèÿ î ðîäñòâåííûõ ïðîöåññàõ, î ñîáûòèÿõ, îñóùåñòâëåíèÿ êîòîðûõ
îæèäàåò äàííûé ïðîöåññ è íåêîòîðàÿ äðóãàÿ èíôîðìàöèÿ.
Êîíòåêñò ïðîöåññà ñîäåðæèò ìåíåå îïåðàòèâíóþ, íî áîëåå îáúåìíóþ ÷àñòü
èíôîðìàöèè î ïðîöåññå, íåîáõîäèìóþ äëÿ âîçîáíîâëåíèÿ âûïîëíåíèÿ ïðîöåññà ñ
ïðåðâàííîãî ìåñòà: ñîäåðæèìîå ðåãèñòðîâ ïðîöåññîðà, êîäû îøèáîê âûïîëíÿåìûõ
ïðîöåññîðîì ñèñòåìíûõ âûçîâîâ, èíôîðìàöèþ î âñåõ îòêðûòûõ äàííûì ïðîöåññîì
ôàéëîâ è íåçàâåðøåííûõ îïåðàöèÿõ ââîäà-âûâîäà (óêàçàòåëè íà ñòðóêòóðû file) è
äðóãèå äàííûå, õàðàêòåðèçóþùèå ñîñòîÿíèå âû÷èñëèòåëüíîé ñðåäû â ìîìåíò
ïðåðûâàíèÿ. Êîíòåêñò, òàê æå êàê è äåñêðèïòîð ïðîöåññà, äîñòóïåí òîëüêî
ïðîãðàììàì ÿäðà, òî åñòü íàõîäèòñÿ â âèðòóàëüíîì àäðåñíîì ïðîñòðàíñòâå
îïåðàöèîííîé ñèñòåìû, îäíàêî îí õðàíèòñÿ íå â îáëàñòè ÿäðà, à íåïîñðåäñòâåííî
ïðèìûêàåò ê îáðàçó ïðîöåññà è ïåðåìåùàåòñÿ âìåñòå ñ íèì, åñëè ýòî íåîáõîäèìî,
èç îïåðàòèâíîé ïàìÿòè íà äèñê. Â UNIX äëÿ ïðîöåññîâ ïðåäóñìîòðåíû äâà ðåæèìà
âûïîëíåíèÿ: ïðèâèëåãèðîâàííûé ðåæèì — «ñèñòåìà» è îáû÷íûé ðåæèì — «ïîëüçîâàòåëü».
 ðåæèìå «ïîëüçîâàòåëü» çàïðåùåíî âûïîëíåíèå äåéñòâèé, ñâÿçàííûõ ñ óïðàâëåíèåì
ðåñóðñàìè ñèñòåìû, â ÷àñòíîñòè, êîððåêòèðîâêà ñèñòåìíûõ òàáëèö, óïðàâëåíèå
âíåøíèìè óñòðîéñòâàìè, ìàñêèðîâàíèå ïðåðûâàíèé, îáðàáîòêà ïðåðûâàíèé. Â ðåæèìå
«ñèñòåìà» âûïîëíÿþòñÿ ïðîãðàììû ÿäðà, à â ðåæèìå «ïîëüçîâàòåëü» — îáîëî÷êà
è ïðèêëàäíûå ïðîãðàììû. Ïðè íåîáõîäèìîñòè âûïîëíèòü ïðèâèëåãèðîâàííûå äåéñòâèÿ
ïîëüçîâàòåëüñêèé ïðîöåññ îáðàùàåòñÿ ñ çàïðîñîì ê ÿäðó â ôîðìå òàê íàçûâàåìîãî
ñèñòåìíîãî âûçîâà. Â ðåçóëüòàòå ñèñòåìíîãî âûçîâà óïðàâëåíèå ïåðåäàåòñÿ
ñîîòâåòñòâóþùåé ïðîãðàììå ÿäðà. Ñ ìîìåíòà íà÷àëà âûïîëíåíèÿ ñèñòåìíîãî âûçîâà
ïðîöåññ ñ÷èòàåòñÿ ñèñòåìíûì. Òàêèì îáðàçîì, îäèí è òîò æå ïðîöåññ ìîæåò
íàõîäèòüñÿ â ïîëüçîâàòåëüñêîé è ñèñòåìíîé ôàçàõ. Ýòè ôàçû íèêîãäà íå
âûïîëíÿþòñÿ îäíîâðåìåííî.
 äàííûõ âåðñèÿõ UNIX ïðîöåññ, ðàáîòàþùèé â ðåæèìå ñèñòåìû, íå ìîã áûòü
âûòåñíåí äðóãèì ïðîöåññîì. Èç-çà ýòîãî îðãàíèçàöèÿ ÿäðà, êîòîðîå ñîñòàâëÿåò
ïðèâèëåãèðîâàííóþ îáùóþ ÷àñòü âñåõ ïðîöåññîâ, óïðîùàëàñü, ò.ê. âñå ôóíêöèè
ÿäðà íå áûëè ðååíòåðàáåëüíûìè. Îäíàêî, ïðè ýòîì ðåàêòèâíîñòü ñèñòåìû ñòðàäàëà —
ëþáîé ïðîöåññ, äàæå íèçêîïðèîðèòåòíûé, âîéäÿ â ñèñòåìíóþ ôàçó, ìîã îñòàâàòüñÿ
â íåé ñêîëü óãîäíî äîëãî. Èç-çà ýòîãî ñâîéñòâà UNIX íå ìîã èñïîëüçîâàòüñÿ â
êà÷åñòâå ÎÑ ðåàëüíîãî âðåìåíè.  áîëåå ïîçäíèõ âåðñèÿõ, è â SVR4 â òîì ÷èñëå,
îðãàíèçàöèÿ ÿäðà óñëîæíèëàñü è ïðîöåññ ìîæíî âûòåñíèòü è â ñèñòåìíîé ôàçå, íî
íå â ïðîèçâîëüíûé ìîìåíò âðåìåíè, à òîëüêî â îïðåäåëåííûå ïåðèîäû åãî ðàáîòû,
êîãäà ïðîöåññ ñàì ðàçðåøàåò ýòî ñäåëàòü óñòàíîâêîé ñïåöèàëüíîãî ñèãíàëà.
 SVR4 èìååòñÿ íåñêîëüêî ïðîöåññîâ, êîòîðûå íå èìåþò ïîëüçîâàòåëüñêîé ôàçû,
íàïðèìåð, ïðîöåññ pageout, îðãàíèçóþùèé âûòàëêèâàíèå ñòðàíèö íà äèñê.
Ïîðîæäåíèå ïðîöåññîâ
â ñèñòåìå UNIX ïðîèñõîäèò ñëåäóþùèì îáðàçîì. Ïðè
ñîçäàíèè ïðîöåññà ñòðîèòñÿ îáðàç ïîðîæäåííîãî ïðîöåññà, ÿâëÿþùèéñÿ òî÷íîé
êîïèåé îáðàçà ïîðîäèâøåãî ïðîöåññà. Ñåãìåíò äàííûõ è ñåãìåíò ñòåêà îòöà
äåéñòâèòåëüíî êîïèðóþòñÿ íà íîâîå ìåñòî, îáðàçóÿ ñåãìåíòû äàííûõ è ñòåêà ñûíà.
Ïðîöåäóðíûé ñåãìåíò êîïèðóåòñÿ òîëüêî òîãäà, êîãäà îí íå ÿâëÿåòñÿ ðàçäåëÿåìûì.
 ïðîòèâíîì ñëó÷àå ñûí ñòàíîâèòñÿ åùå îäíèì ïðîöåññîì, ðàçäåëÿþùèì äàííûé
ïðîöåäóðíûé ñåãìåíò.
Ïîñëå âûïîëíåíèÿ ñèñòåìíîãî âûçîâà fork îáà ïðîöåññà ïðîäîëæàþò âûïîëíåíèå ñ
îäíîé è òîé æå òî÷êè. ×òîáû ïðîöåññ ìîã îïîçíàòü, ÿâëÿåòñÿ ëè îí îòöîì èëè
ñûíîì, ñèñòåìíûé âûçîâ fork âîçâðàùàåò â êà÷åñòâå ñâîåãî çíà÷åíèÿ â ïîðîäèâøèé
ïðîöåññ èäåíòèôèêàòîð ïîðîæäåííîãî ïðîöåññà, à â ïîðîæäåííûé ïðîöåññ NULL.
Òèïè÷íîå ðàçâåòâëåíèå íà ÿçûêå C çàïèñûâàåòñÿ òàê:
if( fork() ) { äåéñòâèÿ îòöà }
else { äåéñòâèÿ ñûíà }
Èäåíòèôèêàòîð ñûíà ìîæåò áûòü ïðèñâîåí ïåðåìåííîé, âõîäÿùåé â êîíòåêñò
ïðîöåññà-îòöà. Òàê êàê êîíòåêñò ïðîöåññà íàñëåäóåòñÿ åãî ïîòîìêàìè, òî äåòè
ìîãóò óçíàòü èäåíòèôèêàòîðû ñâîèõ ñòàðøèõ áðàòüåâ, òàê îáðàçîì ñóììà çíàíèé
íàñëåäóåòñÿ ïðè ïîðîæäåíèè è ìîæåò áûòü ðàñïðîñòðàíåíà ìåæäó ðîäñòâåííûìè
ïðîöåññàìè. Íàñëåäóþòñÿ âñå õàðàêòåðèñòèêè ïðîöåññà, ñîäåðæàùèåñÿ â êîíòåêñòå.
Íà íåçàâèñèìîñòè èäåíòèôèêàòîðà ïðîöåññà îò âûïîëíÿåìîé ïðîöåññîì ïðîãðàììû
ïîñòðîåí ìåõàíèçì, ïîçâîëÿþùèé ïðîöåññó ïðèäòè ê âûïîëíåíèþ äðóãîé ïðîãðàììû ñ
ïîìîùüþ ñèñòåìíîãî âûçîâà exec.
Òàêèì îáðàçîì â UNIX ïîðîæäåíèå íîâîãî ïðîöåññà ïðîèñõîäèò â äâà ýòàïà —
ñíà÷àëà ñîçäàåòñÿ êîïèÿ ïðîöåññà-ðîäèòåëÿ, òî åñòü äóáëèðóåòñÿ äåñêðèïòîð,
êîíòåêñò è îáðàç ïðîöåññà. Çàòåì ó íîâîãî ïðîöåññà ïðîèçâîäèòñÿ çàìåíà
êîäîâîãî ñåãìåíòà íà çàäàííûé.
Âíîâü ñîçäàííîìó ïðîöåññó îïåðàöèîííàÿ ñèñòåìà ïðèñâàèâàåò öåëî÷èñëåííûé
èäåíòèôèêàòîð, óíèêàëüíûé çà âåñü ïåðèîä ôóíêöèîíèðîâàíèÿ ñèñòåìû.
Когда процесс создает или открывает объект по его имени, он получает дескриптор, дающий ему доступ к объекту. Ссылаться на объект по его дескриптору быстрее, чем использовать его имя, поскольку диспетчер объектов может не заниматься поиском по имени и находить объект напрямую.
Процессы могут также получать дескрипторы объектов путем наследования дескрипторов во время создания процесса (когда создатель устанавливает флаг наследования дескрипторов при вызове функции CreateProcess, и дескриптор помечен как наследуемый либо в процессе своего создания, либо после создания путем использования Windows-функции SetHandleInformation) или путем получения продублированного дескриптора от другого процесса (см. Windows-функцию DuplicateHandle).
Все процессы пользовательского режима должны иметь дескриптор объекта, прежде чем их потоки смогут использовать объект. Использование дескрипторов для управления системными ресурсами — идея не новая.
Например, библиотеки времени выполнения C и Pascal (более старого языка программирования, аналогичного Delphi) возвращают дескрипторы открытых файлов. Дескрипторы служат в качестве косвенных указателей на ресурсы системы; эта косвенность не дает прикладным программам напрямую манипулировать структурами системных данных.
ПРИМЕЧАНИЕ. Компоненты исполняющей системы и драйверы устройств могут обращаться к объектам непосредственно, поскольку они запущены в режиме ядра и поэтому имеют доступ к структурам объекта в системной памяти. Но они должны объявить о своем использовании объекта, увеличив значение счетчика ссылок, чтобы объект не мог быть удален из памяти, пока он все еще используется.
Однако для успешного использования объекта драйверы устройств должны знать определение внутренней структуры объекта, а для многих объектов она не предоставляется. Взамен драйверам устройств рекомендуется использовать соответствующие API-функции ядра для изменения или чтения информации из объекта. Например, хотя драйверы устройств могут получить указатель на объект типа «процесс» (EPROCESS), его структура им не известна, и должны быть использованы API-функции вида Ps*.
Для других объектов непрозрачен сам тип (это касается большинства объектов исполняющей системы, в которые заключен диспетчер объектов, в качестве примеров можно привести события или мьютексы). Для таких объектов драйверы должны использовать такие же системные вызовы, которые в конечном итоге используются приложениями пользовательского режима (такие как ZwCreateEvent), и использовать дескрипторы, а не указатели на объекты.
Дескрипторы объектов дают дополнительные преимущества. Во-первых, за исключением того, к чему они относятся, нет никакой разницы между дескрипторами файла, события и процесса. Эта схожесть обеспечивает единый интерфейс для ссылки на объекты, независимо от их типа. Во-вторых, диспетчер объектов имеет исключительное право на создание дескрипторов и на определение местоположения объекта, который относится к дескриптору. Это означает, что диспетчер объектов может проверять каждое действие в пользовательском режиме, влияющее на объект, чтобы убедиться в том, что профиль безопасности вызывающей программы разрешает проводить запрашиваемую операцию над данным объектом.
Просмотр открытых дескрипторов.
Запустите Process Explorer и убедитесь, что нижняя панель включена и настроена на показ открытых дескрипторов. (View (Вид) — Lower Pane View (Просмотр нижней панели) — Handles (Дескрипторы)). После этого откройте окно командной строки и просмотрите таблицу дескрипторов для нового процесса Cmd.exe. Вы должны увидеть дескриптор открытого файла для текущего каталога. Например, предположим, что текущим является каталог C:UsersAdministrator, тогда Process Explorer покажет следующее.
Теперь поставьте Process Explorer на паузу, нажав клавишу Пробел или щелкнув на пунктах View (Вид) — Update Speed (Изменить скорость) — Pause (Пауза).
Затем измените текущий каталог с помощью команды cd и нажмите клавишу F5, чтобы обновить отображаемую информацию. Вы увидите в Process Explorer, что дескриптор предыдущего текущего каталога закрыт и открыт новый дескриптор для нового текущего каталога. Предыдущий дескриптор выделен красным цветом, а новый дескриптор выделен зеленым цветом.
Свойство выделения разным цветом, имеющееся в Process Explorer, делает заметнее изменения в таблице дескрипторов. Например, если процесс допускает утечку дескрипторов, просмотр таблицы дескрипторов с помощью Process Explorer может быстро показать, какой дескриптор или какие дескрипторы были открыты, но не были закрыты. (Обычно виден длинный список дескрипторов для одного и того же объекта.) Эта информация поможет программисту обнаружить утечку дескрипторов.
Монитор ресурсов также показывает открытые (именованные) дескрипторы для процессов, выбранных путем установки флажков напротив их имен. Вот как выглядят дескрипторы открытого окна командной строки.
Таблицу открытых дескрипторов можно также вывести, используя средство командной строки Handle из серии программных продуктов Sysinternals.
Посмотрите, к примеру, на следующий, частично показанный вывод, полученный с помощью средства Handle при изучении дескрипторов файловых объектов, находящихся в таблице дескрипторов для процесса Cmd.exe до и после изменения каталога. По умолчанию Handle отфильтровывает нефайловые дескрипторы, пока не будет использован ключ –a, который приводит к выводу всех дескрипторов в процессе, аналогично Process Explorer.
C:>handle -p cmd.exe
Handle v3.46
Copyright (C) 1997-2011 Mark Russinovich
Sysinternals — www.sysinternals.com
———————————————————————-
cmd.exe pid: 5124 Alex-LaptopAlex Ionescu
3C: File (R-D) C:WindowsSystem32en-USKernelBase.dll.mui
44: File (RW-) C:
C:>cd windows
C:Windows>handle -p cmd.exe
Handle v3.46
Copyright (C) 1997-2011 Mark Russinovich
Sysinternals — www.sysinternals.com
———————————————————————-
cmd.exe pid: 5124 Alex-LaptopAlex Ionescu
3C: File (R-D) C:WindowsSystem32en-USKernelBase.dll.mui
40: File (RW-) C:Windows
Дескриптор объекта является индексом в таблице дескрипторов, относящейся к конкретному процессу. Этот индекс указывается исполнительным блоком процесса (EPROCESS). Первый индекс дескриптора имеет значение 4, второй — 8 и т. д. Таблица дескрипторов процесса содержит указатели на все объекты, которые процесс открыл для своей работы.
Таблицы дескрипторов реализованы по древовидной схеме, подобной той, которую реализует блок управления памятью x86 для перевода виртуальных адресов в физические, которая дает максимальное значение, превышающее 16 000 000 дескрипторов на процесс.
ПРИМЕЧАНИЕ. В древовидной схеме таблиц таблица верхнего уровня может содержать страницу, заполненную указателями на таблицы среднего уровня, что позволяет иметь более половины миллиарда дескрипторов. Но чтобы поддержать совместимость со схемой дескрипторов, имевшейся в Windows 2000, и унаследовать ограничение в 16 777 216 дескрипторов, таблица верхнего уровня содержит не более 32 указателей на таблицы среднего уровня, устанавливая для более новых версий Windows тот же предел.
При создании процесса выделяется только таблица дескрипторов самого низкого уровня, другие уровни создаются по мере необходимости. Таблица дескрипторов нижнего уровня состоит из такого количества записей, которое может поместиться на странице минус одна запись, которая используется для контроля дескрипторов.
Например, для систем x86 страница составляет 4096 байт и поделена на записи таблицы дескрипторов размером 8 байт, которых получается 512 минус 1, то есть всего 511 записей в таблице дескрипторов самого низкого уровня. Таблица дескрипторов среднего уровня содержит полную страницу указателей на таблицы нижнего уровня, поэтому количество таблиц дескрипторов нижнего уровня зависит от размера страницы и размера указателя для платформы. Схема таблицы дескрипторов в системе Windows показана на следующем рисунке.
Создание максимального количества дескрипторов.
Тестовая программа Testlimit из коллекции Sysinternals предоставляет возможность открывать дескрипторы объекта до тех пор, пока она не сможет больше открыть ни одного дополнительного дескриптора. Этим можно воспользоваться, чтобы посмотреть, сколько дескрипторов может быть создано отдельно взятым процессом на вашей системе. Поскольку под таблицы дескрипторов выделяется место в выгружаемом пуле памяти, до достижения максимального количества дескрипторов, доступного для создания в рамках отдельно взятого процесса, вы можете выйти за рамки выгружаемого пула.
Чтобы увидеть, сколько дескрипторов можно создать на вашей системе, выполните следующие действия:
- Загрузите с адреса https://live.sysinternals.com/WindowsInternals исполняемый файл Testlimit, необходимой вам версии для 32- или 64-разрядной версии Windows.
- Запустите программу Process Explorer, щелкните на пункте View (Вид) — System Information (Информация о системе) — Memory (Память). Обратите внимание на текущий и максимальный размер выгружаемого пула.
Чтобы показать максимальный размер пула, Process Explorer должен быть правильно настроен на доступ к символам образа ядра, Ntoskrnl.exe. Оставьте это отображение системной информации работающим, чтобы можно было следить за использованием пула при запуске программы Testlimit.
- Откройте окно командной строки.
- Запустите программу Testlimit с ключом –h (путем ввода команды testlimit –h). Когда программа Testlimit не сможет открыть новый дескриптор, она покажет общее количество тех дескрипторов, которые ей удалось создать. Если количество будет меньше, чем примерно 16 миллионов, значит, вы, наверное, вышли за пределы выгружаемого пула памяти еще до достижения теоретического лимита дескрипторов на один процесс.
- Закройте окно командной строки, благодаря чему будет прекращено выполнение процесса Testlimit и будут закрыты все открытые им дескрипторы.
Как показано на следующем рисунке, на системах x86 каждая запись дескриптора состоит из структуры с двумя 32-разрядными элементами: указателем на объект (с флагами) и маской предоставленных прав доступа. На 64-разрядных системах запись таблицы дескрипторов имеет длину 12 байт: 64-разрядный указатель на заголовок объекта и 32-разрядная маска доступа.
Просмотр таблицы дескрипторов с помощью отладчика ядра.
В команде !handle отладчика ядра используются три аргумента: !handle <индекс дескриптора> <флаги> <идентификатор процесса>
Индекс дескриптора идентифицирует запись дескриптора в таблице дескрипторов. (Нуль означает «показать все дескрипторы».) Индекс первого дексритора имеет значение 4, второго — 8 и так далее. Например, после ввода команды !handle 4 будет показан первый дескриптор для текущего процесса.
Флаги можно указать в виде поразрядной маски, где разряд 0 означает «показать только информацию в записи дескриптора», разряд 1 означает «показать свободные (то есть неиспользуемые) дескрипторы, а разряд 2 означает «показать информацию об объекте, на который ссылается дескриптор». Следующая команда приводит к показу всех подробностей о таблице дескрипторов для процесса с идентификатором 0x62C:
lkd> !handle 0 7 62c
processor number 0, process 000000000000062c
Searching for Process with Cid == 62c
PROCESS fffffa80052a7060
SessionId: 1 Cid: 062c Peb: 7fffffdb000 ParentCid: 0558
DirBase: 7e401000 ObjectTable: fffff8a00381fc80 HandleCount: 111.
Image: windbg.exe
Handle table at fffff8a0038fa000 with 113 Entries in use
0000: free handle, Entry address fffff8a0038fa000, Next Entry 00000000fffffffe
0004: Object: fffff8a005022b70 GrantedAccess: 00000003 Entry: fffff8a0038fa010
Object: fffff8a005022b70 Type: (fffffa8002778f30) Directory
ObjectHeader: fffff8a005022b40fffff8a005022b40 (new version)
HandleCount: 25 PointerCount: 63
Directory Object: fffff8a000004980 Name: KnownDlls
0008: Object: fffffa8005226070 GrantedAccess: 00100020 Entry: fffff8a0038fa020
Object: fffffa8005226070 Type: (fffffa80027b3080) File
ObjectHeader: fffffa8005226040fffffa8005226040 (new version)
HandleCount: 1 PointerCount: 1
Directory Object: 00000000 Name: Program FilesDebugging Tools for Windows (x64)
{HarddiskVolume2}
Первым флагом является бит блокировки, показывающий, что запись в настоящее время используется. Вторым флагом является указатель на возможность наследования, то есть он показывает, получат ли процессы, созданный данным процессом, копию этого дескриптора в свои таблицы дескрипторов. Как уже отмечалось, наследование дескрипторов может быть указано при создании дескриптора или после него с помощью функции SetHandleInformation.
Третий флаг показывает, должно ли закрытие объекта генерировать контрольное сообщение (флаг не показывается в Windows, диспетчер объектов использует его для внутренних нужд). Бит защиты от закрытия хранится в неиспользованной части маски доступа и показывает, разрешено ли вызывающей программе закрыть этот дескриптор (флаг может быть установлен с помощью системного вызова NtSetInformationObject).
Системным компонентам и драйверам устройств зачастую нужно открывать дескрипторы объектов, к которым не должны иметь доступ приложения пользовательского режима. Это делается путем создания дескрипторов в таблице дескрипторов ядра (внутренняя ссылка на которую осуществляется по имени ObpKernelHandleTable).
Дескрипторы в этой таблице доступны только из режима ядра и в контексте любого процесса. Это означает, что функция режима ядра может сослаться на дескриптор в контексте любого процесса, не оказывая отрицательного влияния на производительность системы. Диспетчер объектов распознает ссылки на дескрипторы из таблицы дескрипторов ядра, когда установлен старший бит дескриптора, то есть когда ссылки на дескрипторы из таблицы дескрипторов ядра имеют значение, больше чем 0x80000000.
Таблица дескрипторов ядра также служит в качестве таблицы дескрипторов для процесса System, и все дескрипторы, созданные процессом System (например, кодом, запущенным в системных потоках), автоматически помечаются как дескрипторы ядра, поскольку они размещаются в таблице дескрипторов ядра по определению.
Поиск открытых файлов с помощью отладчика ядра.
Хотя для поиска дескрипторов открытых файлов можно воспользоваться такими средствами, как Process Explorer, Handle и OpenFiles.exe, они недоступны при просмотре аварийного дампа или удаленном анализе системы.
Вместо них для поиска дескрипторов, отрытых для файлов на том или ином томе, можно воспользоваться командой !devhandles.
- Сначала нужно выбрать букву диска, представляющего интерес, и получить указатель на его объект Device. Для этого, как показано ниже, можно воспользоваться командой !object:
1: kd> !object Global??C:
Object: fffff8a00016ea40 Type: (fffffa8000c38bb0) SymbolicLink
ObjectHeader: fffff8a00016ea10 (new version)
HandleCount: 0 PointerCount: 1
Directory Object: fffff8a000008060 Name: C:
Target String is ‘DeviceHarddiskVolume1’
Drive Letter Index is 3 (C:)
- Затем нужно воспользоваться командой !object, чтобы получить объект
Device для нужного имени тома:
1: kd> !object DeviceHarddiskVolume1
Object: fffffa8001bd3cd0 Type: (fffffa8000ca0750) Device
- Теперь можно воспользоваться указателем на объект Device, вставив его в команду !devhandles. Каждый показанный объект указывает на файл:
!devhandles fffffa8001bd3cd0
Checking handle table for process 0xfffffa8000c819e0
Kernel handle table at fffff8a000001830 with 434 entries in use
PROCESS fffffa8000c819e0
SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000
DirBase: 00187000 ObjectTable: fffff8a000001830 HandleCount: 434.
Image: System
0048: Object: fffffa8001d4f2a0 GrantedAccess: 0013008b Entry: fffff8a000003120
Object: fffffa8001d4f2a0 Type: (fffffa8000ca0360) File
ObjectHeader: fffffa8001d4f270 (new version)
HandleCount: 1 PointerCount: 19
Directory Object: 00000000 Name: WindowsSystem32LogFilesWMI
RtBackupEtwRTEventLog-Application.etl {HarddiskVolume1}.