windows 对象管理学习小结

已于 2023-01-05 22:24:26 修改
阅读量289 收藏
点赞数
分类专栏: windows inners 文章标签: 学习
于 2019-07-29 22:52:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/97693727
版权 
/*
win7 32
windows 对象管理相关部分学习小结,
可以结合winobj,windbg等工具来查看及验证相关数据
*/
#include "ntddk.h"
//extern ObTypeIndexTable;
#define NUMBER_HASH_BUCKETS 37
#define OBJECT_TO_OBJECT_HEADER(O) CONTAINING_RECORD((O),OBJECT_HEADER,Body)
#define OBJECT_TO_OBJECT_HEADER_NAME_INFO(o) CONTAINING_RECORD((o),OBJECT_HEADER_NAME_INFO,Directory)
//#define CONTAINING_RECORD(address,type,field) ((type*)(((ULONG_PTR)address)-(ULONG_PTR)(&(((type*)0)->field))))
typedef ULONG DEVICE_MAP;
typedef ULONG EX_PUSH_LOCK;
typedef struct _OBJECT_DIRECTORY
{
	struct _OBJECT_DIRECTORY_ENTRY *HashBuckets[NUMBER_HASH_BUCKETS];
	EX_PUSH_LOCK Lock;
	DEVICE_MAP DeviceMap;
	ULONG SessionId;
	PVOID NamespaceEntry;
	ULONG Flags;
}OBJECT_DIRECTORY,*POBJECT_DIRECTORY;
typedef struct _OBJECT_DIRECTORY_ENTRY{                 
    struct _OBJECT_DIRECTORY_ENTRY *ChainLink;  
    PVOID        Object;  
    ULONG        HashValue;  
}OBJECT_DIRECTORY_ENTRY, *POBJECT_DIRECTORY_ENTRY; 
typedef struct _OBJECT_CREATE_INFORMATION
{
	ULONG Attributes;
	PVOID RootDirectory;
	CHAR ProbeMode;
	ULONG PagedPoolCharge;
	ULONG NonPagedPoolCharge;
    ULONG SecurityDescriptorCharge;
	PVOID SecurityDescriptor;
	PSECURITY_QUALITY_OF_SERVICE SecurityQos;
	SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;
}OBJECT_CREATE_INFORMATION,*POBJECT_CREATE_INFORMATION;
typedef struct _OBJECT_HEADER
{
	LONG PointerCount;
    union
	{
		LONG HandleCount;
		volatile PVOID NextToFree;
	};
	EX_PUSH_LOCK Lock;
	UCHAR TypeIndex;
	UCHAR TraceFlags;
	UCHAR InfoMask;
	UCHAR Flags;
	union
	{
		POBJECT_CREATE_INFORMATION ObjectCreateInfo;
		PVOID QuotaBlockCharged;
	};
	PVOID SecurityDescriptor;
	QUAD Body;
}OBJECT_HEADER,*POBJECT_HEADER;
typedef struct _OBJECT_HEADER_NAME_INFO
{
	POBJECT_DIRECTORY Directory;
	UNICODE_STRING Name;
    ULONG ReferenceCount;
}OBJECT_HEADER_NAME_INFO,*POBJECT_HEADER_NAME_INFO;

typedef struct _OBJECT_TYPE_INITIALIZER {
        USHORT Length  ;
        UCHAR ObjectTypeFlags ;
        UCHAR CaseInsensitive  ;
        UCHAR UnnamedObjectsOnly ;
        UCHAR  UseDefaultObject ;
        UCHAR  SecurityRequired ;
        UCHAR MaintainHandleCount ;
        UCHAR MaintainTypeList ;
        UCHAR SupportsObjectCallbacks ;
        UCHAR CacheAligned   ;
        ULONG ObjectTypeCode   ;
        BOOLEAN InvalidAttributes ;
        GENERIC_MAPPING GenericMapping   ;
        BOOLEAN   ValidAccessMask  ;
        BOOLEAN   RetainAccess    ;
        POOL_TYPE PoolType        ;
        BOOLEAN DefaultPagedPoolCharge ;
        BOOLEAN DefaultNonPagedPoolCharge ;
        PVOID DumpProcedure   ;
        ULONG OpenProcedure    ;
        PVOID CloseProcedure  ;
        PVOID DeleteProcedure ;
        ULONG ParseProcedure  ;
        ULONG SecurityProcedure;
        ULONG QueryNameProcedure;
        UCHAR OkayToCloseProcedure ;
} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE
{
	LIST_ENTRY                  TypeList;
	UNICODE_STRING              Name;
	PVOID                       DefaultObject;
	UCHAR                       Index;
	ULONG                       TotalNumberOfObjects;
	ULONG                       TotalNumberOfHandles;
	ULONG                       HighWaterNumberOfObjects;
	ULONG                       HighWaterNumberOfHandles;
	OBJECT_TYPE_INITIALIZER     TypeInfo;
	EX_PUSH_LOCK                TypeLock;
	ULONG                       Key;
	LIST_ENTRY                  CallbackList;
}OBJECT_TYPE,*POBJECT_TYPE;

NTSTATUS
  ZwOpenDirectoryObject(
    __out PHANDLE  DirectoryHandle,
    __in ACCESS_MASK  DesiredAccess,
    __in POBJECT_ATTRIBUTES  ObjectAttributes
    ); 
NTSTATUS
  ObQueryNameString(
    IN PVOID  Object,
    OUT POBJECT_NAME_INFORMATION  ObjectNameInfo,
    IN ULONG  Length,
    OUT PULONG  ReturnLength
    ); 
   
NTSTATUS ObReferenceObjectByHandle(IN HANDLE Handle,
								   IN ACCESS_MASK DesiredAccess,
								   IN POBJECT_TYPE ObjectType OPTIONAL,
								   IN KPROCESSOR_MODE AccessMode,
								   OUT PVOID* Object,
								   OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL);
VOID DriverUnload(PDRIVER_OBJECT driver)  
{  
    DbgPrint("goodbye!\n");  
}  

VOID ListObjectType(POBJECT_DIRECTORY Type)//列出对象类型
{
	ULONG                      BucketIndex=0;
    POBJECT_TYPE               temp=NULL;
	POBJECT_DIRECTORY_ENTRY    CurrentEntry=NULL;
	DbgPrint("Index   TypeNames\n");
	do
	{
    	if((CurrentEntry=Type->HashBuckets[BucketIndex]))//not (&RootDirectoryObject->HashBuckets[]),pay attention to the use of pointer and '&'
		{
	    	do//search the whole queue
			{   
				temp=(POBJECT_TYPE)CurrentEntry->Object;
		        DbgPrint("0x%2x      %wZ",temp->Index,&temp->Name);
                
	        	CurrentEntry=CurrentEntry->ChainLink;//链表中下一个
			}while(CurrentEntry);
		}
		BucketIndex++;
	}while(BucketIndex<NUMBER_HASH_BUCKETS);
}
NTSTATUS object()
{
	UNICODE_STRING Name;
	NTSTATUS status=STATUS_SUCCESS;
	HANDLE Handle;
	OBJECT_ATTRIBUTES ObjectAttributes;
	POBJECT_DIRECTORY RootDirectoryObject=NULL;
	POBJECT_TYPE   ObjectType=NULL;
	POBJECT_HEADER ObjectHeader;
	POBJECT_HEADER_NAME_INFO NameInfo;
	POBJECT_NAME_INFORMATION name;
	POBJECT_DIRECTORY_ENTRY CurrentEntry;
	ULONG uRet,BucketIndex=0;
	name=(POBJECT_NAME_INFORMATION)ExAllocatePool(NonPagedPool,1024);

 
	RtlInitUnicodeString(&Name,L"\\");//ObpRootDirectoryObject,'\\'是对象管理的根目录
    InitializeObjectAttributes(&ObjectAttributes,&Name,OBJ_CASE_INSENSITIVE|OBJ_PERMANENT,NULL,/*SePublicDefaultUnrestrictedSd*/NULL);

    status=ZwOpenDirectoryObject(&Handle,DIRECTORY_ALL_ACCESS,&ObjectAttributes);//打开目录对象
    if(!NT_SUCCESS(status))
	{
		KdPrint(("ZwOpenDirectoryObject fail!\n"));
		return STATUS_UNSUCCESSFUL;
	}
    //通过对象句柄得到对象指针
	status=ObReferenceObjectByHandle(Handle,0,NULL,KernelMode,(PVOID*)&RootDirectoryObject,NULL);
	if(!NT_SUCCESS(status))
	{
		KdPrint((" ObReferenceObjectByName Failure! status=0x%08x\n",status));
		return STATUS_UNSUCCESSFUL;
	}
	do
	{
    	if((CurrentEntry=RootDirectoryObject->HashBuckets[BucketIndex]))//not (&RootDirectoryObject->HashBuckets[]),pay attention to the use of pointer and '&'
		{
	    	//KdPrint(("ObjectHeader     TypeIdex     HashValue     name\n"));
	    	do//search the whole queue
			{   
		    	ObjectHeader=OBJECT_TO_OBJECT_HEADER(CurrentEntry->Object);
		    	status=ObQueryNameString(CurrentEntry->Object,name,1024,&uRet);
            	if(!NT_SUCCESS(status))
				{
	            	KdPrint(("ObQueryNameString fails\n"));
	            	return STATUS_UNSUCCESSFUL;
				}
		    	//KdPrint(("0x%08x       0x%2x         0x%8x    %wZ\n",ObjectHeader,ObjectHeader->TypeIndex,CurrentEntry->HashValue,&name->Name));
	    	    if(ObjectHeader->TypeIndex==0x3)
				{
					if(name->Name.Length==RtlCompareMemory(name->Name.Buffer,L"\\ObjectTypes",name->Name.Length))
					{
						DbgPrint("find ObjectTypes!\n");
						ListObjectType((POBJECT_DIRECTORY)CurrentEntry->Object);
					}
				}
	        	CurrentEntry=CurrentEntry->ChainLink;
		    	if(!MmIsAddressValid(CurrentEntry))
				{
			    	break;
				}
	            RtlZeroMemory(name,uRet);
			}while(CurrentEntry);
		}
		BucketIndex++;
	}while(BucketIndex<NUMBER_HASH_BUCKETS);

	ObDereferenceObject(RootDirectoryObject);
	ZwClose(Handle);
    ExFreePool(name);
	return STATUS_SUCCESS;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)  
{  
    DbgPrint("enter DriverEntry!\n");
	object();
    driver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;  
}

结果图:

202301052120

对象通知

参考:windows内核编程

   内核提供这样一种机制,它能够在试图打开或者复制特定对象类型的句柄时通知感兴趣的驱动程序。正式支持的对象类型有进程和线程(上图中的文件,可能还有其它的),对Windows10来说,还有桌面对象。

相关函数和数据结构:

 NTSTATUS ObRegisterCallbacks(

  _In_ POB_CALLBACK_REGISTRATION CallbackRegistration,

  _Outptr_  PVOID *RegistrationHandle);

typedef struct _OB_CALLBACK_REGISTRATION{

_In_ USHORT                                       Version;

_In_ USHORT                                       OperationRegistrationCount;

_In_  UNICODE_STRING                     Altitude;

_In_  PVOID                                          RegistrationContext;//驱动程序定义的值,会原样传递给回调函数

_In_ OB_OPERATION_REGISTRATION *OperationRegistration;

}OB_CALLBACK_REGISTRATION,*POB_CALLBACK_REGISTRATION;

typedef struct _OB_OPERATION_REGISTRATION{

_In_  POBJECT_TYPE                     *ObjectType;

_In_  OB_OPERATION                       Operations;

_In_   POB_PRE_OPERATION_CALLBACK  PreOperation;

_In_  POB_POST_OPERATION_CALLBACK PostOperation;

}OB_OPERATION_REGISTRATION,*POB_OPERATION_REGISTRATION;

ObjectType是一个指向这个实例注册的对象类型(进程,线程或桌面)的指针。这些指针被分别输出为全局内核变量:PsProcessType,PsThreadType和ExDesktopObjectType.

Operations字段是一个位标识枚举类型,用来选择创建/打开操作(OB_OPERATION_HANDLE_CREATE)和复制操作(OB_OPERATION_HANDLE_DUPLICATE)。

OB_OPERATION_HANDLE_CREATE针对用户模式函数CreateProcess、OpenProcess、CreateThread、OpenThread、CreateDesktop、OpenDesktop和针对这些对象类型的相似函数的调用。OB_OPERATION_HANDLE_DUPLICATE指这些对象类型的句柄复制操作(用户模式DuplicateHandle API)。

操作前回调

   操作前回调是在实际的创建/打开/复制操作完成之前被调用,给驱动程序一个对操作结果进行修改的机会。操作前回调接受一个OB_PRE_OPERATION_INFORMATION结构,其定义如下:

typedef struct _OB_PRE_OPREATION_INFORMATION{

_In_   OB_OPERATION                  Operation;

union {

    _In_   ULONG      Flags;

    struct  {

            _In_   ULONG  KernelHandle:1;

           _In_    ULONG  Reserved:31;

     };

    _In_   PVOID       Object;

    _In_   POBJECT_TYPE    ObjectType;

    _Out_   PVOID               CallContext;

    _In_  POB_PRE_OPERATION_PARAMETERS  Parameters;

}OB_PRE_OPERATION_INFORMATION,*POB_PRE_OPERATION_INFORMATION;

typedef union _OB_PRE_OPERATION_PARAMETERS{

_Inout_    OB_PRE_CREATE_HANDLE_INFORMATION            CreateHandleInformation;

_Inout_     OB_PRE_DUPLICATE_HANDLE_INFORMATION     DuplicateHandleInformation;

}OB_PRE_OPERATION_PARAMETERS,*POB_PRE_OPERATION_PARAMETERS;

typedef struct _OB_PRE_CREATE_HANDLE_INFORMATION{

_Inout_   ACCESS_MASK         DesiredAccdess;//可以被驱动程序修改的掩码值,只能减,不能加

_In_        ACCESS_MASK         OriginalDesiredAccess;//原始的掩码值

}OB_PRE_CREATE_HANDLE_INFORMATION,*POB_PRE_CREATE_HANDLE_INFORMATION;

typedef struct _OB_PRE_DUPICATE_HADNLE_INFORMATION{

_Inout_   ACCESS_MASK      DesiredAccess;

_In_       ACCESS_MASK       OriginalDesiredAccess;

_In_       PVOID                       SourceProcess;

_In_       PVOID                       TargetProcess;

}OB_PRE_DUPLICATE_HANDLE_INFORMATION,*POB_PRE_DUPLICATE_HANDLE_INFORMATION;

操作后回调

   操作后回调是在操作完成之后被调用。此时驱动程序不能进行任何修改,只能查看结果。

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows对象管理入门理解
vincent_1011的专栏
12-10 2991
先来一张图。下面文字参考《 Undocumented Windows 2000 Secrets》  四1. Dispatcher对象 此类对象位于系统的最底层,在它们的对象体的开始处都有一个共享 的公共数据结构----DISPATCHER_HEADER(参见列表7-1)。在它们的对象头中包含一个对象类型ID和对
对象管理---2
For Geek
05-24 502
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
Windows内核对象管理
bcbobo21cn的专栏
05-09 274
Windows内核情景分析;所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据;不清楚版本; 对象管理 Windows把一些核心功能作为内核对象管理,这些对象是一些结构体,没有封装、继承、多态等高级功能。 内核对象有很多,还可以通过.sys模块添加新类型。 通过OpenFile()通用方式打开对象获得句柄,但底下具体的实现因对象类型不同而异。 OS有个对象类型目录,表结构,存放指向OS里注册的对象类型的指针。对象类型也是st...
浅析windows对象管理
10-15 1115
作者:Sysnap 出处:http://hi.baidu.com/sysnap 标题:Windows 对象管理把以前的对象笔记帖上来...后面多加了俩个 函数..来加深理解...一个是ZwQueryDirectoryObject来检测隐藏驱动一个是让ZwQueryDirectoryObject检测不了的...代码比较简单..先看前面的理论再去理解后面的函数...应该可以编译出来的..否则那个函数你
windows对象
daojin505的专栏
08-07 255
http://msdn.microsoft.com/en-us/library/ms724515(v=VS.85).aspx
Com接口与对象.rar_Windows编程
09-23
总结起来,"Com接口与对象.ppt"这个资源可能会涵盖以下内容:COM的基本概念、接口设计、对象实例化、引用计数、线程模型、注册表注册以及COM在Windows编程中的应用案例。通过学习这部分内容,开发者可以更好地理解和...
windows窗口管理小工具
07-26
总结,"Windows窗口管理小工具"利用VB编程语言实现了对Windows窗口的高级控制,特别是显示隐藏窗口的能力,这对于提升用户体验和保护个人隐私具有实际价值。通过学习和研究其源代码,开发者可以进一步理解Windows...
c#仿Windows任务管理
04-01
总结来说,创建一个C#仿Windows任务管理器的项目,需要掌握C#基础、Windows API调用、UI设计、数据可视化、文件系统访问和多线程编程等多个方面的技能。通过实践这样的项目,开发者不仅可以深化对C#的理解,还能提升...
财务管理系统.zip_Java编程_WINDOWS_
08-10
作为安卓课程的结课项目,这个系统很可能是学生们实践学习成果的体现,涵盖了面向对象编程、UI设计、数据库交互等多方面知识。 【标签】"Java编程" 指出此系统的开发语言,Java是一种强类型、面向对象的语言,具有...
java管理windows进程
03-25
在Java编程环境中,管理和控制Windows进程是一项常见的任务,特别是在系统集成、自动化运维或者软件开发中。本篇文章将探讨如何利用Java来实现这一功能,并结合标签“源码”和“工具”,我们将深入理解如何通过源...
对象管理---3
For Geek
05-26 473
对象的创建 依旧是针对定时器,定时器对象的创建是通过NtCreateTimer来的。 构成这个系统调用的三个步骤是 通过ObCreateObject创建目标对象 对具体对象做相应的本身的初始化 通过ObInsertObject将目标对象插入对象目录和句柄表,并返回句柄。 凡是创建对象的系统调用,都要提供至少两个输入参数。其中之一就是DesiredAccess,这个参数的含义是创建对象的访问模式...
复习:windows对象管理(1)内核对象组织结构
Returns' Station
07-25 1771
好久没来了!最近在整理以前的一些笔记,也希望把以前学过但没记下来的东西补全,于是这是新一轮复习的第一篇。 一、一些概念 xp下内核对象的布局结构如下(由低到高): object quota info object handle info object name info object creater info OBJECT_HEADER object 对象在内核中以哈希树
遍历Windows内核ObjectType
时空之中的灵魂
07-18 869
遍历Windows内核ObjectType
ObjectType_Callback探索
若面朝大海边竹妮春暖花开的博客
02-28 1172
使用PCHunter工具查看object钩子时发现有一种Hook是ObjectType_Callback,Object类型为Process WRK中的全局类型对象变量中没有这一类型 查看ObTypeIndexTable表,对比有HOOK和无HOOk的情况下,看元素是否有增加,如果是自创类型,在这个表里,应该有增加一项 ObTypeIndexTable在XP系统中不存在,前两项是无效的 当有HOO...
javascript打飞机程序8x8x飞机大战js打飞机程序,飞机大战知识点包含了JavaScript面向过程的全部知识点,包括变量、运算符、判断、循环、数组、自定义函数、系统函数、事件等。...
最新发布
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-26 38万+
js打飞机程序,飞机大战知识点包含了JavaScript面向过程的全部知识点,包括变量、运算符、判断、循环、数组、自定义函数、系统函数、事件等。讲解了JavaScript编程语言制作游戏界面,添加游戏控制、制作元素动画、制作多元素场景,添加碰撞功能、制作精灵动画等功能源码如下:html:<!DOCTYPE html&...
WIN7 64位之动态定位ObpRootDirectoryObjct
qq_37213846的博客
09-28 884
一 . 关于内核目录对象的基础知识请了解其他作者写的博客, 此文只讲述如何动态定位目录对象的起始位置. 二 . ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。 打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootD...
可拔插视图
qq1105273619的博客
11-15 24万+
基于类的试图from flask.views import View from flask import render_templateclass UserLogin(View): methods=['POST','GET'] def dispatch_request(self): return render_template('login.html') 基于方法的试图from
Windows内核情景分析》对象管理
strongxu的专栏
01-13 2265
    对象的数据结构都是由对象头和具体对象类型的数据结构两部分组成。对象OBJECT_HEADER在下,它的上方是具体对象类型的数据结构本身。 nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Pt
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 467
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值