句柄之于Windows

内核对象都有安全属性，所有CreateXXX(lpSecurityAttr)函数都不会直接返回指针给用户，这就是句柄存在的意义。进程内的句柄值是唯一的，所以CloseHandle(hid)会准确地关闭相应的内核对象。内核对象都对应一个数据结构(比如KEVENT),通过句柄可以获得对象的指针(比如PKEVENT)，方法是使用ObReferenceObByHandle(当然也可以通过内核对象的名称获取对象指针)。