3.1 什么是內核對象

內核對象就是內核中的一塊內存，是一個結構，并且只能由內核對象訪問，應用程序只能通過調用Windows提供的函數來操作內核對象。每個內核對象都有相同的部分比如安全屬性和使用計數器。

3.1.1 內核對象的使用計數

內核對象中的使用計數和進程無關，當進程第一次創建某個內核對象時候使用計數變為1，當另一個進程也調用此內核對象時計數變為2。當進程釋放時或者關閉內核對象時（CloseHandle），內核的使用計數減去1，如果使用計數不為0的話，內核不會釋放此內核對象。

3.2.2 安全性

內核對象能夠得到安全描述符的保護，安全描述符定義了誰能夠創建，訪問和使用該對象，一般在服務器代碼中使用，客戶端可以忽略。

所有創建內核對象的函數的參數都有一個指向SECURITY_ATTRIBUTES結構的指針。

typedef struct _SECURITY_ATTRIBUTES {
    DWORD nLength;
    LPVOID lpSecurityDescriptor;
    BOOL bInheritHandle;
} SECURITY_ATTRIBUTES, *PSECURITY_ATTRIBUTES, *LPSECURITY_ATTRIBUTES;

只有lpSecurityDescriptor成員和安全屬性有關。一般此參數傳遞NULL，表示默認的安全描述。

如果需要：

SECURITY_ATTRIBUTES sa;
sa.nLength = sizeof(sa);
sa.lpSecurityDescriptor = NULL;
sa.bInheritHandle = FALSE;
HANDLE h = CreateMutex(&sa, FALSE, "XI");

索引                         內核對象內存塊得指針                             訪問屏蔽（標志位的DWORD）                      標志（標志位的DWORD）

調用Create&函數族來創建相應的內核對象，返回的是內核對象的句柄（也有個說法就是句柄表的索引）,如果創建失敗一般會返回0（NULL），也有的會返回INVALID_HANDLE_VALUE=-1，比如CreateFile失敗后會返回后者，失敗的原因有可能是內存不足或者是安全問題等等。其他對內核操作的函數都需要此句柄值作為參數傳遞進去，如果傳遞一個無效的句柄進去，那么GetLastError函數的值將被置為6（ERROR_INVALID_HANDLE）。

3.2.2 關閉內核對象

BOOL CloseHandle(HANDLE hobj);

調用此函數，系統會了清理進程的句柄表中的對應項目，如果使用計數器為0，內核釋放該內核對象的資源，如果使用計數器不為0，說明其他進程還在使用此內核對象，則不釋放資源。

當進程忘記調用CloseHandle函數，可能造成內存泄露，但是當進程結束的時候資源一樣會被釋放。

如果傳遞的參數無效，則函數返回FALSE，并且GetLastError函數的值被設置成ERROR_INVALID_HANDLE。如果是DEBUG階段，則返回錯誤信息。

1. 在父進程創建子進程的時候，將參數SECURITY_ATTRIBUTES結構的Inherithandle字段設置為TRUE的話，再父進程句柄表中標示該內核對象的項的標志位的值將會變成TRUE，標示該內核對象是可以讓子進程繼承的，具有可繼承性（僅僅標示 該句柄值具有可繼承性，而內核對象沒有可繼承性）。
2. 將CreateProcess的參數bInherithandle參數的值設置為TRUE，標示創建的進程可以繼承有繼承性的父進程句柄。
3. 子進程創建后不會先加載程序，它先搜索父進程的句柄表將有繼承性的項目原封不動的拷貝給自己（索引也沒有變，所以句柄值也不變）。
4. 父進程可以有3種方式將句柄值傳遞給子進程，參數傳遞，進程間通信和環境變量（GetEnvironmentVariavle函數解析）。

BOOL
WINAPI
CreateProcess(
    __in_opt    LPCSTR lpApplicationName,
    __inout_opt LPSTR lpCommandLine,
    __in_opt    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    __in_opt    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    __in        BOOL bInheritHandles,
    __in        DWORD dwCreationFlags,
    __in_opt    LPVOID lpEnvironment,
    __in_opt    LPCSTR lpCurrentDirectory,
    __in        LPSTARTUPINFOA lpStartupInfo,
    __out       LPPROCESS_INFORMATION lpProcessInformation
    );

注意：

子進程再創建其子進程，如果滿足上面方式，可以繼續繼承。

如果父進程再創建子進程后，再創建句柄，子進程不會被繼承。

3.3.2 改變句柄標志

// 設置句柄值可繼承：
SetHandleInformation(hObject, HANDLE_FLAG_INHERIT, HANDLE_FLAG_INHERIT);
// 設置句柄不可繼承：
SetHandleInformation(hObject, HANDLE_FLAG_INHERIT, 0);
// 設置句柄值不可關閉，受保護：
SetHandleInformation(hObject, HANDLE_FLAG_PROJECT_FROM_CLOSE, HANDLE_FLAG_PROJECT_FROM_CLOSE);
// 設置句柄值可關閉，不受保護：
SetHandleInformation(hObject, HANDLE_FLAG_PROJECT_FROM_CLOSE, 0);

1. 判斷內核對象名稱是否相同。
2. 判斷內核對象類型是否相同，如果名字相同但是類型不相同則Create&函數族返回NULL，GetLastError函數值為6（ERROR_INVALID_HANDLE）。
3. 判斷安全性，返回同2步，GetLastError值同2步。
4. 如果驗證通過則返回句柄（返回句柄的值和該內核對象其他句柄的值不一定相同），GetLastError的值等于ERROR_ALREADY_EXISTS。

也可以用Open&函數族來打開已經創建的句柄，成功后GetLastError也不會被設置。具體如下

HANDLE Open&(DWORD, BOOL, PCSTR);

第一個參數：表示訪問權限。

第二個參數：表示新創建的句柄是否有繼承性（注意不是內核對象！）。

第三個參數：不能傳遞NULL。如果該句柄不存在則返回NULL，GetLastError被設置為2（ERROR_FILE_NOT_FOUND）。

3.3.4 終端服務器的名字空間

Globad，Local，Session程序保留關鍵字，具體的沒弄明白，理解的就是說當服務器的時候，客戶端可以訪問以這些名字開頭的內核對象。

3.3.5 復制對象句柄

BOOL DuplicateHandle(
HANDLE hSourceProcessHandle,
HANDLE hSourceHandle,
HANDLE TargetProcessHandle,
PHANDLE phTargetHandle,
DWORD dwDesiredAccess,
BOOL bInheritHandle,
DWORD dwOptions);

執行DuplicateHandle函數的進程為ProcessC，原進程為ProcessS，目標進程為ProcessT。則hSourceProcessHandle為進程ProcessS的進程句柄，TargetProcessHandle為進程ProcessT的進程句柄，ProcessC將句柄hSourceHandle從ProcessC拷貝到ProcessT中，值存在phTargetHandle中，dwDesiredAccess新句柄的反問權限，bInheritHandle新句柄的繼承性，參數dwOptions有兩種類型分別是：

DUPLICATE_SAME_ACCESS忽略參數dwDesiredAccess，新句柄和原進程句柄具有相同的反問權限。

DUPLICATE_CLOSE_SOURCE關閉ProcessS中的拷貝句柄，內核對象的計數不變。

HANDLE hObjProcessS = CreateMutex(NULL, FALSE, NULL);
HANDLE hProcessT = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessIdT);
HANDLE hObjProcessT;
DuplicateHandle(GetCurrentProcess(), hObjProcessS, hProcessT , &hObjProcessT, 0, FALSE, DUPLICATE_SAME_ACCESS);
CloseHandle(hObjProcessS);
CloseHandle(hProcessT);