NtQueryObject 获得内核对象使用计数

一个内核对象有两个计数器：一个是句柄计数，句柄是给用户态用的；另一个是指针计数，也叫引用计数，因为核心态也常常用到内核对象，为了方便，在核心态的代码用指针直接访问对象，所以Object   Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时，对象才被释放。一般而言，指针引用计数值比句柄计数值大。

再进一步，实际上，在用户态其实是可以查询一个内核对象的句柄计数和引用计数的。Ntdll.dll里导出的NtQueryObject函数可以查询内核对象的当前状态，只不过它没有被文档化。

函数声明如下：
DWORD   WINAPI   NtQueryObject(   HANDLE   handle,   DWORD   nQueryIndex,   VOID*   pOutBuffer,   DWORD   cbInBufferSize,   VOID*   cbOutBufferSize);

handle   --   待查询的句柄
nQueryIndex   --   0为查询对象的当前状态，包括句柄计数，引用计数等等。
pOutBuffer   --   存放查询结果
cbInBufferSize   --   pOutBuffer的大小，注意，如果nQueryIndex为0，这里一定得是0x38
cbOutBufferSize   --   实际大小。

返回值：如果成功则返回0

pOutBuffer里返回的数据结构如下：
typedef   struct   _SYSTEM_HANDLE_STATE   {
DWORD   r1;
DWORD   GrantedAccess;
DWORD   HandleCount;   //   减1为句柄计数
DWORD   ReferenceCount;   //   减1为指针引用计数
DWORD   r5;
DWORD   r6;
DWORD   r7;
DWORD   r8;
DWORD   r9;
DWORD   r10;  
DWORD   r11;  
DWORD   r12;  
DWORD   r13;  
DWORD   r14;  
}SYSTEM_HANDLE_STATE,   *PSYSTEM_HANDLE_STATE;