复习:windows对象管理(1)内核对象组织结构

最新推荐文章于 2021-07-04 21:03:48 发布
最新推荐文章于 2021-07-04 21:03:48 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: 内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/9473837
版权

好久没来了!最近在整理以前的一些笔记,也希望把以前学过但没记下来的东西补全,于是这是新一轮复习的第一篇。

一、一些概念

xp下内核对象的布局结构如下(由低到高):


object quota info

object handle info

object name info

object creater info

OBJECT_HEADER

object

对象在内核中以哈希树的形式存储,根目录有37个槽,以下是根目录的打印输出


0: kd> !object \
Object: e1009030  Type: (863e9348) Directory
    ObjectHeader: e1009018 (old version)
    HandleCount: 0  PointerCount: 34
    Directory Object: 00000000  Name: \
    128 symbolic links snapped through this directory


    Hash Address  Type          Name
    ---- -------  ----          ----
     00  e100a628 Directory     ArcName
         863caf18 Device        Ntfs
     01  e1952ef8 Port          SeLsaCommandPort
     03  e101a490 Key           \REGISTRY
     09  e1447310 Directory     NLS
     10  e1009260 SymbolicLink  DosDevices
         8623a0c8 FilterConnectionPort Safe360Port
     13  e15732c0 Port          SeRmCommandPort
     14  e19d5850 Port          LsaAuthenticationPort
         863c9030 Device        Dfs
         86280b78 Event         LanmanServerAnnounceEvent
     16  e13234c8 Directory     Driver
     19  e1011700 Directory     Device
     20  e1632a08 Directory     Windows
     21  e163c370 Directory     Sessions
         860fe188 Event         SAM_SERVICE_STARTED
     22  e1422428 Directory     RPC Control
         e14cda40 Port          SmApiPort
     23  e14cb998 Directory     BaseNamedObjects
         e1000200 Directory     KernelObjects
     24  e13045e0 Directory     FileSystem
         e1008b50 Directory     GLOBAL??
     26  e1009b50 Directory     ObjectTypes
     27  e1adebf8 Port          ErrorLogPort
         e100c118 Directory     Security
     31  e10138b8 SymbolicLink  SystemRoot
         861e6208 Device        Cdfs
     32  e10010d8 Directory     Callback
     33  860bd708 Event         SeLsaInitEvent
         860be4a8 Event         UniqueSessionIdEvent
     35  e15021f0 Directory     KnownDlls


内核自己定义的对象类型也放在对象目录中,打印如下


0: kd> !object \ObjectTypes
Object: e1009b50  Type: (863e9348) Directory
    ObjectHeader: e1009b38 (old version)
    HandleCount: 0  PointerCount: 26
    Directory Object: e1009030  Name: ObjectTypes


    Hash Address  Type          Name
    ---- -------  ----          ----
     00  863e9348 Type          Directory
     01  863b2368 Type          Mutant
         863b5ca0 Type          Thread
     03  863c7738 Type          FilterCommunicationPort
     05  8639e380 Type          Controller
     06  85da9770 Type          360Type
     07  863b1ad0 Type          Profile
         863b2708 Type          Event
         863e9518 Type          Type
     09  863e9178 Type          SymbolicLink
         863b1248 Type          Section
         863b2538 Type          EventPair
     10  863b1560 Type          Desktop
     11  863b1ca0 Type          Timer
     12  863e7ad0 Type          File
         863b1730 Type          WindowStation
     16  863e7e70 Type          Driver
     18  863e1d78 Type          WmiGuid
         863b1900 Type          KeyedEvent
     19  863e7040 Type          Device
         863b5040 Type          Token
     20  863b5298 Type          DebugObject
     21  863e7ca0 Type          IoCompletion
     22  863b5e70 Type          Process
     24  8639e550 Type          Adapter
     26  863ab420 Type          Key
     28  863b5ad0 Type          Job
     31  8639ee70 Type          WaitablePort
         8639e040 Type          Port
     32  863b1040 Type          Callback
     33  863c7908 Type          FilterConnectionPort
     34  863b1e70 Type          Semaphore

对象目录结构如下

0: kd> dt nt!_OBJECT_DIRECTORY
   +0x000 HashBuckets      : [37] Ptr32 _OBJECT_DIRECTORY_ENTRY
   +0x094 Lock             : _EX_PUSH_LOCK
   +0x098 DeviceMap        : Ptr32 _DEVICE_MAP
   +0x09c SessionId        : Uint4B
   +0x0a0 Reserved         : Uint2B
   +0x0a2 SymbolicLinkUsageCount : Uint2B

entry 结构如下

0: kd> dt _OBJECT_DIRECTORY_ENTRY
nt!_OBJECT_DIRECTORY_ENTRY
   +0x000 ChainLink        : Ptr32 _OBJECT_DIRECTORY_ENTRY
   +0x004 Object           : Ptr32 Void


3.其他内容

这里仅仅罗列一些关键词,以后逐渐补完

object type链表

object查询解析(parse、open等)

object权限检查

句柄与句柄表

二、一些应用

1.可以通过以下代码获得“对象目录”这个对象的对象类型。

	status = ObReferenceObjectByHandle(hRootDir,
		DIRECTORY_ALL_ACCESS,
		NULL,
		KernelMode,
		(PVOID*)&g_pRootObj,
		NULL);
	POBJECT_HEADER poh =  (POBJECT_HEADER)(OBJ_TO_HEAD(g_pRootObj));
	g_pDirObjectType = poh->Type;

2.遍历对象树,递归搜索驱动对象(兼容xp~win7) 

VOID SearchDriverObjByTree(ULONG dir)
{
	//nt!_OBJECT_DIRECTORY
	//	+0x000 HashBuckets      : [37] 0xe10003b8 _OBJECT_DIRECTORY_ENTRY
	//	+0x094 Lock             : _EX_PUSH_LOCK
	//	+0x098 DeviceMap        : (null) 
	//	+0x09c SessionId        : 0xffffffff
	//	+0x0a0 Reserved         : 0
	//	+0x0a2 SymbolicLinkUsageCount : 0x76

	for (int i=0;i<37;i++)
	{
		ULONG dir_entry = *(PULONG)(dir+i*4);
		if (0!=dir_entry)
		{
			//nt!_OBJECT_DIRECTORY_ENTRY
			//	+0x000 ChainLink        : (null) 
			//	+0x004 Object           : 0xe1803da8 
			do 
			{//chainlink 遍历
				ULONG pObject =  *(ULONG*)(dir_entry+4);
				if (pObject!=0)
				{
					POBJECT_HEADER poh = (POBJECT_HEADER)((ULONG)pObject-0x18);
					if (g_dwBuildNumber <7600)
					{
						if (poh->Type == *IoDriverObjectType)
						{
							if (pObject>g_MaxDriObjAddr)
							{
								//记录最大的内核对象地址 作为内存搜索的参考
								g_MaxDriObjAddr = pObject;
							}
							IsScanedDri((PDRIVER_OBJECT)pObject);
						}
						else if (poh->Type == (PVOID)*IoDeviceObjectType)
						{ 
							PDEVICE_OBJECT pdev = (PDEVICE_OBJECT)pObject;
							do 
							{
								IsScanedDri((PDRIVER_OBJECT)pdev->DriverObject);
								pdev = pdev->AttachedDevice;
							} while (pdev!=0);
						}
						else if (poh->Type == (PVOID)g_pDirObjectType)
						{
							SearchDriverObjByTree(pObject);
						}
					}
					else 
					{
						BYTE key = *(PBYTE)((ULONG)pObject-0xc);
						switch(key)
						{
						case OB_DIR_TYPE_INDEX:
								SearchDriverObjByTree(pObject);
								break;
						case OB_DRIVER_TYPE_INDEX:
							{
								if (pObject>g_MaxDriObjAddr)
								{
									//记录最大的内核对象地址 作为内存搜索的参考
									g_MaxDriObjAddr = pObject;
								}
								IsScanedDri((PDRIVER_OBJECT)pObject);
								break;
							}
						case OB_DEVICE_TYPE_INDEX:
							{
								PDEVICE_OBJECT pdev = (PDEVICE_OBJECT)pObject;
								do 
								{
									IsScanedDri((PDRIVER_OBJECT)pdev->DriverObject);
									pdev = pdev->AttachedDevice;
								} while (pdev!=0);
								break;
							}
						default:
							break;
						}

					}
					
				}
				dir_entry = *(PULONG)dir_entry;
			} while (0!=dir_entry);
		}

	}

}

Shevacoming
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windowsx64内核对象管理分析
u013677637的博客
08-21 567
x64windows内核分析 内核对象管理
WINDOWS内核对象及其理解
顺其自然~专栏
12-27 907
本文可以说是一个读书笔记。在参考了很多文章的基础上,然后作一些试验才完成本文的。内核对象Windows内部的重要数据结构。通过本文可以大致了解Windows是如何组织众多的对象的。
Windows API笔记(一)内核对象
David
04-28 1197
1. 内核对象和句柄 内核对象实际上是由内核分配的一块内存,而且只能由内核来访问。内核对象属于内核;句柄与进程相关,能被允许在该进程的所有线程正确使用! 内核对象内存块是一个数据结构,他的组成: 对象信息 对象名 安全描述 使用计数 … 内核对象 Event objects 事件对象 File-mapping objects 文件映射对象 File objects 文...
Gloomy对Windows内核的分析(对象管理器)
峥嵘岁月
01-31 5168
Inside WINDOWS NT Object Manager=====================================                                                                                  Заточенное само в себе                         
WINDOWS内核对象
热门推荐
misterliwei的专栏
07-25 1万+
WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象内核对象是系统地址空间中的一个内存块,由系统创建并维护。内核对象内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象。  二.内核对象结构 每个对象都有对象头和对象体组成。所有类型的对象结构都是相同的,而结构体部
网络攻防之windows 安全原理复习提纲
01-29
而在内核模式中,对象管理器负责内存对象管理和保护,每个对象都关联一个安全描述符,包含访问控制列表(ACL),由安全引用监视器(SRM)根据策略进行访问控制。 用户账户是安全体系的核心,使用用户名和密码标识,...
自考“网络操作系统”复习资料 (2).docx
07-01
9. **内核组织形式**: - **强内核**:包含大量功能的内核,如UNIX。 - **微内核**:只包含最基本功能的内核,其他服务在用户空间提供。 10. **微内核的基本思想**: - 结构化、模块化设计,只提供最基本的...
Linux笔试复习题.docx
09-13
1. Linux系统结构:Linux操作系统主要由内核、shell、文件系统和应用程序四部分构成。内核是操作系统的核心,负责处理硬件资源;shell是用户与系统交互的接口,提供命令行界面;文件系统组织管理磁盘上的数据;...
自考“网络操作系统”复习资料.docx
07-01
例如,UNIX是一个强内核系统,而Windows NT采用了微内核结构并结合了客户/服务器模式。 微内核提供进程间通信、存储管理、低级进程管理和调度以及低级I/O服务。它的优势在于结构清晰,易于扩展和维护。相比之下,微...
WINCE嵌入式复习资料
05-14
- 操作系统层包括内核(NK.EXE)、图形系统(GWES.EXE)、对象存储(FILESYS.EXE)、设备管理(DEVICE.EXE)、服务(SERVICES.EXE)以及CoreDLL。 7. **文件与目录组织**: - 具有不同的目录结构,如Public、...
redis笔记-共享对象
09-09 632
000
windows对象
daojin505的专栏
08-07 255
http://msdn.microsoft.com/en-us/library/ms724515(v=VS.85).aspx
windows对象管理
lst1975的专栏
05-12 330
<br />   今天在调试一个SSDT的时候,我做了ZwSetValueKey的hook,本来希望在hook中将数值修改一下。以达到最终的效果,但在尝试的时候,总是出错。报0xC0000005的访问违例错误。我尝试了修改数据类型,将原来的数据类型修改为REG_DWORD结果还是不行,后来在调试过程中发现了MmUserProbeAddress。该函数功能是用于检查地址是否属于ring3的地址。我才想到,我在内核中声明的变量地址与hook中对象的句柄不在同一层。所以一直出现访问违例的现象。对于Windows
由ObReferenceObject推导windows对象管理
sqqsongqiqi的专栏
01-09 772
#define ObReferenceObject(Object) ObfReferenceObject(Object) LONG_PTR FASTCALL ObfReferenceObject ( __in PVOID Object ) /*++ Routine Description: This function increments the referen
windows内核开发学习笔记四十二:内核对象管理目录及接口
jyl_sh的专栏
07-04 670
windows内部维护了一个对象层次目录(即系统全局名字空间),其根目录对象是由全局变量ObpRootDirectoryObject来定义的。在根目录之下,系统内置了一些子目录,通过查询NtCreateDirectoryObject函数可以看到CallBack、ArcName、Device、Driver、FileSystem、KernelObjects、ObjectTypes、GLOBAL??和Security子目录的创建过程,下面的是创建Driver子目录的代码: //创建driver目...
InternalError:当前程序已经使用了Windows管理对象的系统允许的所有句柄
qq_36317441的博客
10-16 4225
InternalError:当前程序已经使用了Windows管理对象的系统允许的所有句柄,我的神舟笔记本用Android studio2.3.3的时候经常会出现这个问题。也没有找到解决方案,问了周围的人,他们也没遇到过这个问题,可能和我的神舟战神笔记本有关系吧,或者跟我一次性在电脑上开太多程序有关。问题如下图所示,注意看左下角。 一旦出现这个问题,Android studio就没法再进
Windows内核对象
liangchuan的博客
06-25 490
索引在一个表中查找对应的内核对象的实际地址。那么这个表在哪里呢?每个进程都有这样的一个表,叫句柄表。该表的第一项就是进程自己的句柄,这也是为什么你调用GetCurrentProcess()总是返回0x7FFFFFFF原因。     简单地说,Handle就是一种用来"间接"代表一个内核对象的整数值。你可以在程序中使用handle来代表你想要操作的内核对象。这里的内核对象包括:事件(Event)、
对象管理---2
For Geek
05-24 502
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
windows内核对象
最新发布
08-31
Windows内核对象是系统提供给用户模式下代码与内核模式下代码进行交互的基本接口。它们是一种管理资源的机制,用于在操作系统内部进行进程间通信、同步线程、共享数据等操作。 Windows内核对象可以通过使用Process Explorer来查看其创建情况,并且可以使用对象句柄继承来实现进程边界共享内核对象。此外,lsobj工具可以使用NtQueryDirectoryObject()函数来列出Windows内核对象名称空间中的所有可见对象。它最初具有与WinObj相同的功能,可以在无头服务器和服务器孤岛上运行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Windows核心编程(三)内核对象](https://blog.csdn.net/jzz5072/article/details/112848284)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [lsobj:列出Windows内核对象名称空间(命令行WinObj)中的所有可见对象](https://download.csdn.net/download/weixin_42117082/18786082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值