Windows内核对象管理

最新推荐文章于 2024-08-11 21:25:11 发布
最新推荐文章于 2024-08-11 21:25:11 发布
阅读量284 收藏
点赞数
分类专栏: 操作系统研发和研究 文章标签: 内核对象 ReactOS OBJECT_HEADER PointerCount HandleCount
原文链接:https://www.cnblogs.com/itdef/p/3759951.html?utm_source=tuicool&utm_medium=referral
版权

    Windows内核情景分析;所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据;不清楚版本;

对象管理    
 
    Windows把一些核心功能作为内核对象来管理,这些对象是一些结构体,没有封装、继承、多态等高级功能。

    内核对象有很多,还可以通过.sys模块添加新类型。
    通过OpenFile()通用方式打开对象获得句柄,但底下具体的实现因对象类型不同而异。

    OS有个对象类型目录,表结构,存放指向OS里注册的对象类型的指针。对象类型也是struct。

    对象数据结构:[object_body|object_head|object_info]。
    head里没有挂入队列的链指针。即对象自身并没要求要加入对象目录,它可以是独立的,提供句柄供用户进程控制。
    但被多个进程共享,或是被一个进程重复“创建”的对象,在OS中可以通过且只能命名找到它,OS将命名对象加入了对象目录来便于查找。对象目录是树结构,根节点是目录对象(系统内部用struct),普通对象都是叶节点。节点之间通过连接对象连接(普通对象没有链指针),目录节点通过Hash表、对象名来组织叶节点。

    打开模式:创建对象,初始化,或已有对象引用计数加1,建立这一次打开的上下文(运行信息:访问权限,占据内存页,换入换出设置等,因具体类型而不同);加入对象目录和进程句柄表,返回句柄表的索引,即Handle,从而建立进程与对象的连接。

    每个进程有一个句柄表,表项指向对象的head。有时进程通过一些函数会直接操作内核对象,这时候要挂靠内核句柄表(内核运行也在使用一些对象),copy修改一些句柄值。多个进程的句柄表可以指向同一个对象。


    进程与线程也是对象,一个进程创建一个子进程,也就有了这个进程的句柄。


    Win内核中是使用对象概念来描述管理内核中使用到的数据结构。
    一个对象实际上是分为三部分。 
    OBJECT_HEADER对象头.
    数据本体(比如文件对象File Object、Event等)
    附加信息(比如Object Header Name Info等)


结构如下:

//摘录自 Reactos代码
// Object Header
//
typedef struct _OBJECT_HEADER
{
LONG PointerCount;
union
{
LONG HandleCount;
volatile PVOID NextToFree;
};
POBJECT_TYPE Type;
UCHAR NameInfoOffset;
UCHAR HandleInfoOffset;
UCHAR QuotaInfoOffset;
UCHAR Flags;
union
{
POBJECT_CREATE_INFORMATION ObjectCreateInfo;
PVOID QuotaBlockCharged;
};
PSECURITY_DESCRIPTOR SecurityDescriptor;
QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;

使用windbg调试windows XP时候 得到结构如下。
lkd> dt _OBJECT_HEADER
nt!_OBJECT_HEADER
+0×000 PointerCount : Int4B
+0×004 HandleCount : Int4B
+0×004 NextToFree : Ptr32 Void
+0×008 Type : Ptr32 _OBJECT_TYPE
+0x00c NameInfoOffset : UChar
+0x00d HandleInfoOffset : UChar
+0x00e QuotaInfoOffset : UChar
+0x00f Flags : UChar
+0×010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
+0×010 QuotaBlockCharged : Ptr32 Void
+0×014 SecurityDescriptor : Ptr32 Void
+0×018 Body : _QUAD

看上去应该差不多,REACTOS对于对象头的描述基本与windows一致.其中Body便是对象本体,由于本体结构的多样性,长度是未确定的。所以《windows内核情景分析》中提到,”OBJECT_HEADER_NAME_INFO等放在OBJECT_HEADER下面,用8位字节表示位移量。” 

https://www.cnblogs.com/cvbnm/articles/2035473.html
https://www.cnblogs.com/itdef/p/3759951.html?utm_source=tuicool&utm_medium=referral


 

bcbobo21cn
关注
专栏目录
Windows内核原理与实现
11-16
1. **执行体(Executive)**:执行体是Windows内核的一个关键组成部分,包含了多个子系统,如对象管理器、内存管理器、进程管理器等。 2. **内核模式驱动程序**:这些驱动程序直接与硬件交互,负责设备的控制和管理...
[Windows] 内核对象
LYSM
09-07 640
什么是内核对象 Windows 中一切皆为 对象,Linux 中一切皆为 文件。内核对象Windows 用来管理资源的一种 数据结构 内核对象分类 访问标记对象 注册表键对象 调试对象 目录对象 符号链接对象 事件对象 文件对象 文件映射对象 IO完成端口对象 LPC端口对象 作业对象 邮槽对象 进程对象 线程对象 令牌对象 时钟对象 线程池对象 互斥对象 管道对象 信号量对象 ...
利用Volatility进行Windows内存取证分析(二):内核对象内核池学习小记
Fly_鹏程万里
05-16 4595
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
windows核心编程:第3章 3.1内核对象,什么是内核对象内核对象的使用计数,安全性
最新发布
zhyjhacker的博客
08-11 1024
作为一个Windows软件开发人员,你经常需要创建、打开和操作各种内核对象。系统要创建和操作若干类型的内核对象,比如存取符号对象、事件对象、文件对象、文件映射对象、I0完成端口对象、作业对象、信箱对象、互斥对象、管道对象、进程对象、信标对象、线程对象和等待计时器对象等。这些对象都是通过调用函数来创建的。例如,CreateFileMapping函数可使系统能够创建一个文件映射对象。每个内核对象只是内核分配的一个内存块,并且只能由该内核访问。该内存块是一种数据结构,它的成员负责维护该对象的各种信息。
遍历驱动的设备栈遇到的问题及解决
輚至消亡
11-20 687
首先来说一下我遇到的几个问题: 可以看到上面的代码中我是要打印4项,分别是驱动名称, 设备名称,驱动地址以及设备地址。但结果: 驱动名称出来了但设备名没有。 分明pObjNameInfo->Name.Buffer都存在,怎么会打印不出来呢? 于是我看了下里面 可以看到这里显示无法读取这里的内存, 这我真的懵逼了。 在者,这里面会打印如下内容: 驱动自身的设备链 附着在驱动设备上的设备链 可以看到上面结果中所有设备名称都存在的但是没被显示出来,原因是无法被读取。而无法读取的
Windows对象 (Object) 结构
weixin_34389926的博客
07-26 215
Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。Windows XP中有31种不同类型的对象Object Body反映了某一类...
windows内核安全与驱动开发(pdf+源码).zip
01-04
1. **权限管理**:Windows内核采用强制访问控制(MAC)和 discretionary access control(DAC)策略,通过权限令牌(Access Token)控制进程的访问权限。了解如何正确设置和管理这些权限是保障系统安全的基础。 2. ...
Windows内核设计思想 完整版 .pdf
09-13
- **对象管理器**:负责系统对象的创建、删除等生命周期管理; - **安全性子系统**:管理用户的访问权限和安全策略。 #### 二、设计原则 Windows内核的设计遵循一系列基本原则,以确保其高效性、稳定性和可扩展性:...
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
首先,我们要理解Windows内核是操作系统的核心部分,它负责管理硬件资源、调度进程、提供系统服务等。内核安全编程则尤为重要,因为任何在内核层面上的漏洞都可能导致严重的系统崩溃或被恶意利用。因此,对于驱动...
Windows内核设计思想 光盘源代码
05-13
3. **对象管理**:Windows内核使用了一种基于对象管理模式,包括进程、线程、内存区域、设备等,这些对象都有其独特的属性和访问控制机制。 4. **内存管理**:Windows内核通过页表进行虚拟内存管理,实现了地址...
WINDOWS内核对象及其理解
顺其自然~专栏
12-27 958
本文可以说是一个读书笔记。在参考了很多文章的基础上,然后作一些试验才完成本文的。内核对象Windows内部的重要数据结构。通过本文可以大致了解Windows是如何组织众多的对象的。
windows核心编程》第3章 内核对象
HuanBianCheng27的博客
10-22 731
每个进程创建的内核对象是一个索引,通过这个索引会在每个进程的内核对象表中找到这个内核对象的内存块,同一个内核对象在不同进程中的句柄是不一样的内核对象用一个句柄来标识。内核对象的内存块位于操作系统的内核空间,应用程序不能直接操作内核对象,需要系统给定的函数来操作内核对象的结构:公用部分(安全描述符、计数)和个性部分windows还没人登录的时候就会创建一个session0会话,windows服务程序在session0中。每当有一个用户登录就会创建一个session。
Windows核心编程之内核对象
哈哈
04-20 436
Windows操作系统中我们常常接触的有三种对象类型: Windows内核对象 (事件对象,文件对象,进程对象,I/O完成端口对象,互斥量对象,线程对象等等):由执行体(Excutive)对象管理器(Object Manager管理内核对象结构体保存在系统内存空间(0x80000000-0xFFFFFFFF),句柄值与进程相关。 Windows GDI对象 (画笔对象,画刷对
Windows 内核对象
tianyue168的专栏
07-22 504
<br />1. 何为内核对象<br /> 每个内核对象是一块内存,由操作系统内核维护的,并只能由操作系统内核直接访问;该内存块是一个数据结构,其成员维护着对象的相关信息。有些成员是内核对 象共有的,如引用计数和安全描述符;不同的内核对象拥有自己特有的成员。用户无法直接操作内核对象Windows提供一系列的函数来操纵这些内核对象, 并用句柄来标识内核对象,句柄是与进程相关的。内核对象包括事件对象,文件对象,作业对象,互斥对象,进程对象,线程对象,等待计时器对象等等。<br /><br />2. 引用
Windows内核对象
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-09 917
系统会创建和处理几种类型的内核对象,比如事件对象、文件对象、互斥量对象等,每个内核对象都只是一个内存块,它由操作系统内核分配,并只能由操作系统内核访问。这个内存块是一个数据结构,其成员维护着与对象相关的信息。应用程序如何操纵这些内核对象呢?Windows提供了一组函数可以访问这些内核对象。调用一个会创建内核对象的函数后,函数会返回一个句柄,它标识了所创建的对象。为了增加操作系统的可靠性,这些句柄值是与进程相关的。所以将句柄值传给另一个进程中的线程时,可能会调用失败。...
Windows内核对象
刺猬先生
03-17 1208
感谢两位兄弟优秀的总结: https://blog.csdn.net/Sagittarius_Warrior/article/details/52247917 https://blog.csdn.net/ljianhui/article/details/8171266 内核对象(Kernel Object)是Windows操作系统中的一个核心概念。 本章主要介绍了“内核对象”的公共属性:usage...
Windows内核对象管理器详解
Windows内核对象管理器是操作系统核心的基石,它使得内核能够有效地管理和控制各种资源,保证了系统的稳定性和安全性。通过对命名空间、对象类型、引用机制和安全性的统一管理Object Manager极大地简化了系统设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值