(1) 何为内核对象:每个内核对象都只是一个内存块,它由操作系统内核分配,并且只能由操作系统内核访问.内存块是数据结构,成员维护着与对象相关的信息.内核对象的生命周期是可能大于创建它的进程,基数机制,如果有进程使用它计数器+1,使用它的进程终止计数器减1,计数器归0,操作系统自动销毁它(类似于com).

 

(2)内核对象的安全性，创建对象的时候有下面这个结构的指针

　　typedefine _SECURITY_ATTRIBUTES

　　{

　　　　DWORD nLength;

　　　　LPVOID  lpSecurityDescriptor;

　　　　BOOL　bInheritHandler;

　　}SECURITY_ATTRIBUTES;几乎所有的内核对象创建时候都需要指定SECURITY_ATTRIBUTES。

 （3）进程内核对象句柄表，数据结构的数组，每个数据结构包含内核对象的指针，访问掩码，和一些标志

 （4）确定哪些内核对象未关闭 Process Explorer==>handlers窗格==>选择列==>选中所有标题

　　view==>update speed==>pause      F5

 （5）创建内核对象：好像没啥特别说明的

 （6）关闭内核对象：BOOL CloseHandle(HANDLE object);

  （7）跨进程边界共享内核对象

• 对象句柄继承,父进程创建子进程指出这个对象的句柄是可以继承的,父进程创建子进程会拷贝所有属性为可继承的句柄表。内核对象句柄可以使用Set/GetHandlerInformation设置/获取句柄的继承属性和是否允许关闭句柄
• 为对象命名 Open*函数不会创建对象，Create*会创建对象，注意所有的内核对象都共享一个命名空间，类型不同也只允许一个叫“what”的内核对象存在。
• 复制对象句柄DuplicateHandler函数，获一个内存句柄的记录项，然后再另一个进程中创建它的副本。