最近研究 gSharedInfo 的句柄表,发现 1709 系统不再像 1607 之前那样 aheList 的 phead 直接指向一个对象的内核地址了,而是小于 0x10000 的按 4 对齐的数,这玩意能直接转换成相应对象的地址吗?
typedef struct _HANDLEENTRY
{
UINT64 pHead;
UINT64 pOwner;
UINT64 Unknown;
BYTE bType;
BYTE bFlags;
WORD wUniq;
INT padding;
}HANDLEENTRY, *PHANDLEENTRY;
目前还不知道这个新的 HANDLEENTRY 中的 phead、Unknown 和 padding 表示什么,请大家多多指教!
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/551116
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.