对象查看器的核心代码(无意中找到的)

最新推荐文章于 2021-07-04 21:03:48 发布
最新推荐文章于 2021-07-04 21:03:48 发布
阅读量1.4k 收藏 1
点赞数 3
分类专栏: 驱动程序框架和操作系统 文章标签: object string windows build server .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SworderAndy/article/details/3080634
版权

记得以前我的一位大哥做出了山寨版Winobj,当时不知怎么实现的,以为是有什么接口函数,现在终于知道是怎么做的了.

其实跟SSDT的原理差不多,也是有一个全局变量,通过它沿着复杂的路径找到一张树状结构.

 

    kd> !object /
    Object: 8148e210  Type: (814c5820) Directory
        ObjectHeader: 8148e1f8
        HandleCount: 0  PointerCount: 39
        Directory Object: 00000000  Name: /
        99 symbolic links snapped through this directory
        HashBucket[ 00 ]: 8148a350 Directory 'ArcName'
                          814a8f10 Device 'Ntfs'
        HashBucket[ 01 ]: e2390040 Port 'SeLsaCommandPort'
        HashBucket[ 03 ]: e1012030 Key '/REGISTRY'
        HashBucket[ 06 ]: e1394560 Port 'XactSrvLpcPort'
        HashBucket[ 07 ]: e13682e0 Port 'DbgUiApiPort'
        HashBucket[ 09 ]: 84305760 Directory 'NLS'
                        .
                        .
                        .

    kd> !object 814a8f10
    Object: 814a8f10  Type: (814b5ac0) Device
        ObjectHeader: 814a8ef8
        HandleCount: 0  PointerCount: 2
        Directory Object: 8148e210  Name: Ntfs

    实现代码如下:

    //-----------------------------------------------
    //
    // Dump Windows 2000 Kernel Object
    // Only test on Windows 2000 Server Chinese Edition
    // Build 2195(Free)!Programmed By WebCrazy
    // (tsu00@263.net ) on 11-04-2000!
    // Welcome to http://webcrazy.yeah.net !
    //
    //-----------------------------------------------

    ULONG ObpRootDirectoryObject=0x8148e210;  //fetch from symbol file

    void DumpDirectoryObject(PVOID DirectoryObject)
    {
       ULONG HashBucket;
       ULONG *Hash;

       for(HashBucket=0;HashBucket<=0x24;HashBucket++)
       {
          Hash=(ULONG *)((ULONG)DirectoryObject+HashBucket*4);
          if(*Hash==0) continue;

          DbgPrint("/n    HashBucket[%02X]/n",HashBucket);
          do
          {
              PUNICODE_STRING ObName,ObTypeName;
              PVOID Object,ObPreHeader,ObStandardHeader;

              Hash=(ULONG *)(*Hash);
              Object=(PVOID)(*(ULONG *)((ULONG)Hash+4));
              ObPreHeader=(PVOID)((ULONG)Object-0x28);
              ObStandardHeader=(PVOID)((ULONG)Object-0x18);

              ObName=(PUNICODE_STRING)((ULONG)ObPreHeader+4);
              DbgPrint("/tDump Object:%08X/n",(ULONG)Object);
              DbgPrint("/t  Name:%S",ObName->Buffer);

              ObTypeName=(PUNICODE_STRING)((ULONG)(*(ULONG *)((ULONG)ObStandardHeader+8))+0x40);
              DbgPrint("/t  Type:%S(%08X)/n",ObTypeName->Buffer,
                            *(ULONG *)((ULONG)ObStandardHeader+8));

              DbgPrint("/t  PointerCount:%d  HandleCount:%d/n",*(ULONG *)ObStandardHeader,
                            *(ULONG *)((ULONG)ObStandardHeader+4));

          }while(*Hash!=0);
       }
    }

    void DumpObject(PVOID Object)
    {

       PUNICODE_STRING ObName,ObTypeName;
       UNICODE_STRING temp;
       PVOID ObPreHeader=(PVOID)((ULONG)Object-0x28),
            ObStandardHeader=(PVOID)((ULONG)Object-0x18);

       if(((USHORT)NtBuildNumber)!=2195){
           DbgPrint("Only test on Windows 2000 Server Build 2195!/n");
           return;
       }

       ObName=(PUNICODE_STRING)((ULONG)ObPreHeader+4);
       DbgPrint("  Dump Object:%08X/n    Name:%S",(ULONG)Object,ObName->Buffer);

       ObTypeName=(PUNICODE_STRING)((ULONG)(*(ULONG *)((ULONG)ObStandardHeader+8))+0x40);
       DbgPrint("    Type:%S(%08X)/n",ObTypeName->Buffer,*(ULONG *)((ULONG)ObStandardHeader+8));

       DbgPrint("    PointerCount:%d  HandleCount:%d/n",*(ULONG *)ObStandardHeader,
                     *(ULONG *)((ULONG)ObStandardHeader+4));

       RtlInitUnicodeString(&temp,L"Directory");
       if(!RtlCompareUnicodeString(&temp,ObTypeName,FALSE))
          DumpDirectoryObject(Object);
    }

    void DumpRootDirectoryObject()
    {
       DumpObject((PVOID)ObpRootDirectoryObject);
    }

 

这样就能将Winobj.exe中的对象名和类型全部显示出来了.

代码没有调试过,但是在Windbg中验证过.若是将/Ntfs输入找到的对象名真的是L"Ntfs",类型名真的是L"Device"

SworderAndy
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言com对象查看器,附源码
06-24
易语言有自带的com对象浏览器,但是关闭ide就不能打开了。经过两天的分类整理,制作了这个软件。exdui自绘的,也算是一个EX_DUI的一个例子
PowerShell 对象查看器
Windows PowerShell
07-04 2623
原文链接: http://mow001.blogspot.com/2005/10/msh-object-viewer.htmlMoW编写的脚本可以在图形界面查看并修改对象的内容. 输入 ov (dir) 可以查看当前路径的属性输入 ov((gps)[0]) 可以查看到Get-Process命令返回的第一个对象的属性输入 ov(new-object system.managemen
OLE/COM 对象查看器
10-10
含有相应的在visual studio的配置描述;
代码核心
Phodal's zenthink
12-16 1456
最近,经历了一系列代码吐槽事件之后,结合公司大佬的观点之后,大体上对于程序员的编码 level 有一个更好的认识。所以,我决定写一篇文章,以此来划分不同的程序员。我知道为别人打标签是不对...
winobj内核对象查看工具
01-07
winobj内核对象查看工具,查看驱动对象和设备对象,了解对象间的层次关系
C#实现Windows图片查看器的功能
06-24
在本文,我们将深入探讨如何使用C#编程语言来实现一个功能完备的Windows图片查看器。这个图片查看器不仅能够浏览图片,还支持图片的旋转和保存旋转后的图像。我们将会涉及以下几个关键知识点: 1. 图像处理库:在...
dll函数查看器3.7版本
01-13
DLL查看器3.7提供的信息可以辅助开发者定位代码的问题,比如通过查看函数声明找出调用错误,或者通过依赖分析找到未正确加载的库。 5. **代码优化**:了解DLL的内部工作原理可以帮助开发者优化程序。例如,如果...
OBJ查看器软件
01-07
OBJ查看器核心特性在于其易用性和快速性,它允许用户迅速加载和浏览OBJ模型,无需使用复杂的3D建模软件。通过这款软件,用户可以: 1. **模型预览**:直观地查看3D模型的形状、结构和细节,支持旋转、平移和缩放...
LibTools-Viewer1.0 windows lib dll库函数查看器
05-22
1. 动态链接库(DLL)查看:该工具的核心功能是查看DLL库的函数名。DLL是Windows操作系统的一个重要组件,它允许程序共享代码和数据,以节省内存并提高执行效率。LibTools-Viewer1.0可以打开DLL文件,展示其的...
OBJ并且显示出来
01-09
读入OBJ文件,并且显示出来,能运行成功
pywin32_win32com_查看任意COM对象的所有方法和属性 & 将Excel特定区域保存为图片的自动化方法
isaaczr的博客
11-25 2411
背景 工作期间, 有一个报表生成并保存为图片发送的日常任务, 虽然数据处理可以利用pandas库来便捷地完成, 但调整格式和保存特定单元格区域为图片, 就得用其他的库或手动来操作了(然而我很懒, 不想调用太多的python库), 另外, 我也不想再搞一个带宏的Excel文件, 想一并在python完成操作. 之前一直对pywin32库有所耳闻, 但当时没找到全面透彻的教程(当然现在也没找到), 这几天摸索了一下, 尤其是逛了逛StackOverflow, 基于找到的零零散散的知识点做了些整理, 记录如下.
windows内核开发学习笔记四十二:内核对象管理目录及接口
jyl_sh的专栏
07-04 679
windows内部维护了一个对象层次目录(即系统全局名字空间),其根目录对象是由全局变量ObpRootDirectoryObject来定义的。在根目录之下,系统内置了一些子目录,通过查询NtCreateDirectoryObject函数可以看到CallBack、ArcName、Device、Driver、FileSystem、KernelObjects、ObjectTypes、GLOBAL??和Security子目录的创建过程,下面的是创建Driver子目录的代码: //创建driver目...
第二十四课_遍历windows对象目录
05-18 1738
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
ObQueryNameString一设计缺陷简述
chabaoNO1的专栏
07-18 2195
ObQueryNameString这个函数早就臭名远播啦,某文就说"这个函数的使用,在有些环境下会有问题。它的上层函数是 ZwQueryObject()。在某些情况下会导致系统挂起,或者直接 BSOD。它是从 对象管理器ObpRootDirectoryObject开始遍历,通过 OBJECT_HEADER_TO_NAME_INFO 获得对象名称。今天问了下 PolyMeta好象是在处理 PIPE 时会挂启,这个问题出现在 2000 系统。在 XP 上好象补丁了。"而百度一下也多是问关于调用失败的问题,
Windows 文件过滤驱动经验总结
03-05 2824
作者:ai3000本文转载自驱动开发网看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘
如何看懂源代码--(分析源代码方法)
weixin_33691817的博客
06-21 3387
由于今日计划着要看Struts 开源框架的源代码        昨天看了一个小时稍微有点头绪,可是这个速度本人表示非常不满意,先去找了下资料, 觉得不错... 摘自(繁体文Traditional Chinese):http://www.ithome.com.tw/itadm/article.php?c=47717 下文为经过Google翻译过的简体文版: 我们在写程式时,有不少...
如何看一个大型的项目代码
抠专栏
04-16 1万+
如何去读一个有50万行代码的项目? 原文:http://www.cnblogs.com/muer/archive/2011/05/02/2034448.html 导读 换过几次工作的程序员员一般都比较头疼,新到一个公司,会给你一个项目,别人以前写的,40-50万行代码,并且代码没按照一定的规范去写,因为这个代码来自N 个人,一看代码我就头大,我曾经就做过这样的事情,
如何查看 linux 内核源代码
热门推荐
BOKE
10-14 1万+
Linux的内核源代码可以从很多途径得到。一般来讲,在安装的linux系统下,/usr/src/linux目录下的东西就是内核源代码。 对于源代码的阅读,要想比较顺利,事先最好对源代码的知识背景有一定的了解。对于linux内核源代码来讲,我认为,基本要求是:1、操作系统的基本知识;2、对C语言比较熟悉,最好要有汇编语言的知识和GNU C对标准C的扩展的知识的了解。另外在阅读之前,还应该知
写出查看生成器对象代码
最新发布
03-25
您好,以下是查看生成器对象代码示例: ``` def my_generator(): for i in range(5): yield i g = my_generator() print(g) ``` 这将输出生成器对象的地址:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值