ObReferenceObjectByPointer

最新推荐文章于 2023-07-16 19:03:01 发布
最新推荐文章于 2023-07-16 19:03:01 发布
阅读量656 收藏
点赞数 1
分类专栏: c/c++ windows inners 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/78991957
版权

ObReferenceObjectByPointerWithTag()例程介绍参考ddk文档。这个函数和ObReferenceObjectByHandleWithTag()最后要完成的任务是一样的—“ReferenceObejct”,只不过方法不一样。通过指针引用对象相对通过句柄来说,逻辑要简单得多,可以将二者结合起来看,上一个写的不清楚的地方在这里可能有答案。 

lkd> dt nt!_object_header  (win7 32)不同版本可能有变动
   +0x000 PointerCount     : Int4B  //与'ByPointer'相关
   +0x004 HandleCount      : Int4B  //与'ByHandle'相关
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Lock             : _EX_PUSH_LOCK
   +0x00c TypeIndex        : UChar  //要用到的
   +0x00d TraceFlags       : UChar  //两个成员
   +0x00e InfoMask         : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32_OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD
   (from ddk)
NTSTATUS ObReferenceObjectByPointerWithTag(
    __in PVOID  Object,
    __in ACCESS_MASK  DesiredAccess,
    __in_opt POBJECT_TYPE  ObjectType,
    __in KPROCESSOR_MODE  AccessMode,
    __in ULONG  Tag
    )
{
    if(!(*ObjectType))  //jne 0x1f
    {
        if(KernelMode!=AccessMode)  //0x13  
        {
            //je  0x2c              //0x16
            return STATUS_OBJECT_TYPE_MISMATCH; //0XC0000024  //0X18
        }
        else
        {
            if((*ObpTraceFlags))  //0x2c   je 0x49
            {
                if(1&Object->ObjectHeader->TraceFlags)  //0x39   je 0x49
                {
                    ObpPushStackInfo(Object,1,1,Tag);   //0X3e
                }
                lock xadd dword ptr [esi],ebx   //0x49
                //Object->ObjectHeader->PointerCount   ebx=1
                //通过指针(pointer)访问,PointerCount++
                return STATUS_SUCCESS;
            }
            else
            {
                lock xadd dword ptr [esi],ebx   //0x49
                return STATUS_SUCCESS;
            }
        }
    }
    else if(*ObjectType==*ObpTypeIndexTable[Object->ObejctHeader->TypeIndex])
        //0x1f  je 0x2c
    {
        if((*ObpTraceFlags))  //0x2c   je 0x49
        {
            if(1&Object->ObjectHeader->TraceFlags)  //0x39   je 0x49
            {
                ObpPushStackInfo(Object,1,1,Tag);   //0X3e
            }
            lock xadd dword ptr [esi],ebx   //0x49
            //Object->ObjectHeader->PointerCount   ebx=1
            //通过指针(pointer)访问,PointerCount++
            return STATUS_SUCCESS;
        }
        else
        {
            lock xadd dword ptr [esi],ebx   //0x49
            return STATUS_SUCCESS;
        }
    }
    else
    {
        return STATUS_OBJECT_TYPE_MISMATCH; //0XC0000024  //0X18
    }
}
pureman_mega
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ObReferenceObjectByHandle了解进程句柄三张表
qq_41610493的博客
04-05 923
逆向实战
ObReferenceObjectByName
weixin_30307921的博客
07-30 896
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplusextern "C"{#endif#include <NTDDK.h> NTKERNELAPINTSTATUSObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attr...
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6085
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
获取内核对象指针的一些方法
yxwsbobo的专栏
02-15 1428
ObReferenceObjectByHandle<br />根据句柄获得对象指针,并且引用计数增加1,所以不用的时候需要调用ObDereferenceObject使对象引用计数减一<br /> <br /> <br />句柄为 CreateProcess,CreateThread,CreateEvent等获取的内核对象句柄<br />PKEVENT pEvent;//注意对象类型的一致<br />ObReferenceObjectByHandle(hUserEvent,EVENT_MODIFY_STATE
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
最新发布
a756598009的博客
07-16 619
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
Dissecting the Windows Kernel - 关于ObReferenceObjectByHandle中对句柄的处理
StanfordZhang的专栏
11-18 4431
Dissecting the Windows Kernel -   关于ObReferenceObjectByHandle中对句柄的处理 一、   摘要 在开发一个 Anti-Rootkit工具中的枚举进程句柄时,发现枚举System Process进程的句柄信息在Windows XP和Windows 7/8的处理细节有一些不一样,遂想刨根问底,一探究竟。在获取句柄对象名和类型名的时候都会使
深入分析Win7的对象引用跟踪机制
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1406
深入分析Win7的对象引用跟踪机制 2010年09月12日 19:34 Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。 在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
4.5.2 ObReferenceObjectByPointer() 187 4.5.3 ObpLookupEntryDirectory() 188 4.5.4 ObpLookupObjectName() 192 4.5.5 ObOpenObjectByName() 209 4.5.6 ObReferenceObjectByName() 213 4.5.7 ...
函数......ObReferenceObjectByHandle
天蓝的专栏
12-10 6164
ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。 stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0);ObReferenceObjectByHandle(
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
wowbell的专栏
03-17 2134
今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:================================================================================= 原文:http://www.boxcounter.org/?action=show&id=13前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1175
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
强删文件,强杀进程,文件注册表穿越
05-16 938
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
win10错误代码REFERENCE_BY_POINTER解决方法
热门推荐
sunsineq的专栏
07-10 4万+
有些电脑关机的时候或者待机时候会突然蓝屏,并出现REFERENCE_BY_POINTER的终止代码 这是win10旧版的浏览器Microsoft Edge使得电脑蓝屏 解决方法:下载uninstall_edge工具,用这个工具禁用edge浏览器 下载链接:https://www.lanzoux.com/iP5rxdhu1de 使用方法:1.下载之后解压,并用管理员方式运行 右键管理员方式运行 图片来自https://www.52pojie.cn/thread-1196803-1-1
ObReferenceObjectByName用法(自己测试成功)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 3817
//全局的一个对象类型 extern POBJECT_TYPE *IoDriverObjectType;  函数原型声明 NTSTATUS ObReferenceObjectByName (     __in PUNICODE_STRING ObjectName,     __in ULONG Attributes,     __in_opt PACCESS_STATE Acce
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1405
1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
从XP到Win7看Windows对象管理的变化(概述)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 2441
从XP到Win7看Windows对象管理的变化(概述) 2010年08月01日 15:56 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。 事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win7以后,在
ObReferenceObjectByHandle内核函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 1499
大槪就是看这个句柄是当前进程的句柄还是当前线程的句柄,最后再看看这AccessMode是内核还是用户态下,内核的话,句柄表就用ObpKernelHandleTable,用户态的话就用当前进程的句柄表 NTSTATUS ObReferenceObjectByHandle (     __in HANDLE Handle,     __in ACCESS_MASK DesiredAccess,
KeWaitForSingleObject简析
pureman_mega的博客
12-29 5391
这个函数在进行同步操作时经常会用到,它内部的工作流程是什么样的呢?让我来试着分析分析吧. (以反编译的汇编代码片段为材料)NTSTATUS KeWaitForSingleObject( IN PVOID Object,//分发器对象(dispatcher object),像(event,mutex,semaphore,thread or timer) IN KWAIT_REASON
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值