Windows内核对象管理

最新推荐文章于 2021-07-03 21:21:16 发布
最新推荐文章于 2021-07-03 21:21:16 发布
阅读量283 收藏
点赞数
分类专栏: 操作系统研发和研究 文章标签: 内核对象 ReactOS OBJECT_HEADER PointerCount HandleCount
原文链接:https://www.cnblogs.com/itdef/p/3759951.html?utm_source=tuicool&utm_medium=referral
版权

    Windows内核情景分析;所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据;不清楚版本;

对象管理    
 
    Windows把一些核心功能作为内核对象来管理,这些对象是一些结构体,没有封装、继承、多态等高级功能。

    内核对象有很多,还可以通过.sys模块添加新类型。
    通过OpenFile()通用方式打开对象获得句柄,但底下具体的实现因对象类型不同而异。

    OS有个对象类型目录,表结构,存放指向OS里注册的对象类型的指针。对象类型也是struct。

    对象数据结构:[object_body|object_head|object_info]。
    head里没有挂入队列的链指针。即对象自身并没要求要加入对象目录,它可以是独立的,提供句柄供用户进程控制。
    但被多个进程共享,或是被一个进程重复“创建”的对象,在OS中可以通过且只能命名找到它,OS将命名对象加入了对象目录来便于查找。对象目录是树结构,根节点是目录对象(系统内部用struct),普通对象都是叶节点。节点之间通过连接对象连接(普通对象没有链指针),目录节点通过Hash表、对象名来组织叶节点。

    打开模式:创建对象,初始化,或已有对象引用计数加1,建立这一次打开的上下文(运行信息:访问权限,占据内存页,换入换出设置等,因具体类型而不同);加入对象目录和进程句柄表,返回句柄表的索引,即Handle,从而建立进程与对象的连接。

    每个进程有一个句柄表,表项指向对象的head。有时进程通过一些函数会直接操作内核对象,这时候要挂靠内核句柄表(内核运行也在使用一些对象),copy修改一些句柄值。多个进程的句柄表可以指向同一个对象。


    进程与线程也是对象,一个进程创建一个子进程,也就有了这个进程的句柄。


    Win内核中是使用对象概念来描述管理内核中使用到的数据结构。
    一个对象实际上是分为三部分。 
    OBJECT_HEADER对象头.
    数据本体(比如文件对象File Object、Event等)
    附加信息(比如Object Header Name Info等)


结构如下:

//摘录自 Reactos代码
// Object Header
//
typedef struct _OBJECT_HEADER
{
LONG PointerCount;
union
{
LONG HandleCount;
volatile PVOID NextToFree;
};
POBJECT_TYPE Type;
UCHAR NameInfoOffset;
UCHAR HandleInfoOffset;
UCHAR QuotaInfoOffset;
UCHAR Flags;
union
{
POBJECT_CREATE_INFORMATION ObjectCreateInfo;
PVOID QuotaBlockCharged;
};
PSECURITY_DESCRIPTOR SecurityDescriptor;
QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;

使用windbg调试windows XP时候 得到结构如下。
lkd> dt _OBJECT_HEADER
nt!_OBJECT_HEADER
+0×000 PointerCount : Int4B
+0×004 HandleCount : Int4B
+0×004 NextToFree : Ptr32 Void
+0×008 Type : Ptr32 _OBJECT_TYPE
+0x00c NameInfoOffset : UChar
+0x00d HandleInfoOffset : UChar
+0x00e QuotaInfoOffset : UChar
+0x00f Flags : UChar
+0×010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
+0×010 QuotaBlockCharged : Ptr32 Void
+0×014 SecurityDescriptor : Ptr32 Void
+0×018 Body : _QUAD

看上去应该差不多,REACTOS对于对象头的描述基本与windows一致.其中Body便是对象本体,由于本体结构的多样性,长度是未确定的。所以《windows内核情景分析》中提到,”OBJECT_HEADER_NAME_INFO等放在OBJECT_HEADER下面,用8位字节表示位移量。” 

https://www.cnblogs.com/cvbnm/articles/2035473.html
https://www.cnblogs.com/itdef/p/3759951.html?utm_source=tuicool&utm_medium=referral


 

bcbobo21cn
关注
专栏目录
windows对象管理入门理解
vincent_1011的专栏
12-10 3028
先来一张图。下面文字参考《 Undocumented Windows 2000 Secrets》  四1. Dispatcher对象 此类对象位于系统的最底层,在它们的对象体的开始处都有一个共享 的公共数据结构----DISPATCHER_HEADER(参见列表7-1)。在它们的对象头中包含一个对象类型ID和对
windows内核安全与驱动开发(pdf+源码).zip
01-04
1. **权限管理**:Windows内核采用强制访问控制(MAC)和 discretionary access control(DAC)策略,通过权限令牌(Access Token)控制进程的访问权限。了解如何正确设置和管理这些权限是保障系统安全的基础。 2. ...
WINDOWS内核对象
热门推荐
misterliwei的专栏
07-25 1万+
WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象内核对象是系统地址空间中的一个内存块,由系统创建并维护。内核对象内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象。  二.内核对象结构 每个对象都有对象头和对象体组成。所有类型的对象头结构都是相同的,而结构体部
windows内核对象
weixin_30521649的博客
03-31 84
一、内核对象   操作系统为了以记录相关信息的方式管理各种资源,在其内部生成数据块(可视为结构体变量)。当然,每种资源需要维护的信息不同,所以每种资源拥有的数据块格式也有差异。这类数据块称为“内核对象”。   内核对象就是为了管理线程、文件等资源而由操作系统创建的数据块,其创建者和所有者均为操作系统。   内核对象通过整数型“句柄”区分,句柄相当于linux的文件描述符。   可以通过句柄...
windows 内核对象
12-19 874
Windows内核资源列表 单地说: 内核对象是系统的一种资源。系统对象一旦产生,任何应用程序都可以开启并且使用该对象。系统给内核对象一个计数值作为管理只用,内核对象包括: event,mutex,semaphore,file,file-mapping,preocess,thread.这些内核对象每次产生都会返回一个handle,作为标
Windows内核对象简介
不断的谦逊,不断的努力
12-08 818
内核对象只是操作系统内核分配的一个内存块,并且只能由操作系统内核访问。该内存块是一种数据结构,它的成员负责维护该对象的各种信息。Windows提供一组函数创建和操作内核对象。调用一个创建内核对象的函数,函数会返回一个句柄,该句柄标识了这个内核对象,这个句柄可由当前进程中的所有线程调用。也可以通过跨进程边界共享内核对象,让其他的进程调用。 使用计数。内核对象有个使用计数数据成员,标识内核对象
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
首先,我们要理解Windows内核是操作系统的核心部分,它负责管理硬件资源、调度进程、提供系统服务等。内核安全编程则尤为重要,因为任何在内核层面上的漏洞都可能导致严重的系统崩溃或被恶意利用。因此,对于驱动...
WindowsNT.rar_Windows内核_windows 内核_windows内核代码
最新发布
09-19
3. **对象管理**:内核使用对象模型来管理系统资源,如进程、线程、文件、设备等。对象模型为这些资源提供了统一的访问和管理方式,增强了系统的可移植性和可靠性。 4. **中断处理和设备驱动**:内核通过中断处理...
Windows内核设计思想 完整版 .pdf
09-13
- **对象管理器**:负责系统对象的创建、删除等生命周期管理; - **安全性子系统**:管理用户的访问权限和安全策略。 #### 二、设计原则 Windows内核的设计遵循一系列基本原则,以确保其高效性、稳定性和可扩展性:...
Windows内核安全与驱动开发 随书源码.rar
06-18
Windows内核是操作系统的核心部分,它负责管理系统的硬件资源、调度进程、处理中断和异常、提供系统调用接口等。内核安全是确保操作系统免受恶意攻击和系统崩溃的关键。在Windows内核中,安全涉及访问控制、内存保护...
windows对象管理
lst1975的专栏
05-12 337
<br />   今天在调试一个SSDT的时候,我做了ZwSetValueKey的hook,本来希望在hook中将数值修改一下。以达到最终的效果,但在尝试的时候,总是出错。报0xC0000005的访问违例错误。我尝试了修改数据类型,将原来的数据类型修改为REG_DWORD结果还是不行,后来在调试过程中发现了MmUserProbeAddress。该函数功能是用于检查地址是否属于ring3的地址。我才想到,我在内核中声明的变量地址与hook中对象的句柄不在同一层。所以一直出现访问违例的现象。对于Windows
windows笔记-内核对象
weixin_30954265的博客
08-31 115
有哪些内核对象? 如下:存取符号对象、事件对象、文件对象、文件映射对象、I / O 完成端口对象、作业对象、信箱对象、互斥对象、管道对象、进程对象、信标对象、线程对象和等待计时器对象等。这些对象都是通过调用函数来创建的。 什么是内核对象内核对象只是内核分配的一个内存块,并且只能由该内核访问。该内存块是一种数据结构,它的成员负责维护该对象的各种信息。有些数据成员(如安全性描述符、使用...
windows内核对象管理学习笔记
weixin_30710457的博客
05-29 89
目前正在阅读毛老师的《windows内核情景分析》一书对象管理章节,作此笔记。 Win内核中是使用对象概念来描述管理内核中使用到的数据结构。此对象(Object)均是由对象头(Object Header)组成,实际上由于对象头概念的特殊结构,还有些可选成分。于是一个对象实际上是分为三部分。 OBJECT_HEADER对象头. 数据本体(比如文件对象File Object、Event等) ...
复习:windows对象管理(1)内核对象组织结构
Returns' Station
07-25 1781
好久没来了!最近在整理以前的一些笔记,也希望把以前学过但没记下来的东西补全,于是这是新一轮复习的第一篇。 一、一些概念 xp下内核对象的布局结构如下(由低到高): object quota info object handle info object name info object creater info OBJECT_HEADER object 对象内核中以哈希树
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 487
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象
Windows内核对象管理器详解
Windows内核对象管理器是操作系统核心的基石,它使得内核能够有效地管理和控制各种资源,保证了系统的稳定性和安全性。通过对命名空间、对象类型、引用机制和安全性的统一管理Object Manager极大地简化了系统设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值