Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因

最新推荐文章于 2023-08-10 22:11:28 发布
最新推荐文章于 2023-08-10 22:11:28 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: windows编程 驱动开发 文章标签: 线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/78155282
版权

之前遗留的一个问题

http://blog.csdn.net/qq_18218335/article/details/76400680
        之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用KillThread 将其结束并新生成一个工作线程,这种方法虽然可以解决死锁问题,但是无法得到对象的所有信息。之后我们通过驱动调用ObQueryNameString 并与Ring3 交互成功得到了所有句柄对应的名称信息。这篇文章就来分析为什么同样是调用系统提供的接口函数,Ring3 会导致线程死锁,而Ring0 则可以直接得到对象名称。

实验环境

        Win7 X64 sp1,wrk,IDA,vmware 12,windbg。vs2015

实验思路

        之前尝试直接通过WinDbg 在NtQueryObject 函数下断点来分析其调用流程,之后发现系统自己多次调用该函数来解析句柄的信息。如果想知道自己的函数调用为什么死锁,必须要hook 该函数,然后再判断是自己的程序进行的函数调用的时候中断系统,之后再进行单步调试,发现线程死锁的原因。整体流程就是,Ring3 首先执行一遍查找操作,判断出谁可能导致线程死锁,之后加载我们的hook 驱动,此时Ring3 程序针对特定的导致死锁的句柄调用NtQueryObject 函数,我们的驱动在捕获此次调用的时候中断系统。此时我们已经得到了依次必然导致线程死锁的函数调用,我们通过WinDbg 单步调试程序,并结合wrk 中已经给出的函数实现来综合分析其死锁原因。
        

1. 找到导致死锁的句柄

这里写图片描述

这里写图片描述

2.编写驱动,捕获我们对于该句柄的NtQueryObject 函数调用

这里写图片描述

这里写图片描述

这里写图片描述

3.综合利用各种工具进行分析

        到这里之后我们没有必要刚开始就一无所知去单步调试汇编,可以借助wrk 源码和 IDA 来分析其行为,之后再单步调试。首先看Wrk 中 NtQueryObject 的实现。

  case ObjectNameInformation:

        //
        //  Call a local worker routine
        //

        Status = ObpQueryNameString( Object,
                                     (POBJECT_NAME_INFORMATION)ObjectInformation,
                                     ObjectInformationLength,
                                     &TempReturnLength,
                                     PreviousMode );
        break;

         我们看到,当我们要去获得句柄对应的名称信息的时候,函数转而去调用ObpQueryNameString函数。我们来看ObpQueryNameString 的函数实现;

  if (ObjectHeader->Type->TypeInfo.QueryNameProcedure != NULL) {

        try {

#if DBG
            KIRQL SaveIrql;
#endif

            ObpBeginTypeSpecificCallOut( SaveIrql );
            ObpEndTypeSpecificCallOut( SaveIrql, "Query", ObjectHeader->Type, Object );

            Status = (*ObjectHeader->Type->TypeInfo.QueryNameProcedure)( Object,
                                                                         (BOOLEAN)((NameInfo != NULL) && (NameInfo->Name.Length != 0)),
                                                                         ObjectNameInfo,
                                                                         Length,
                                                                         ReturnLength,
                                                                         Mode );

        } except( EXCEPTION_EXECUTE_HANDLER ) {

            Status = GetExceptionCode();
        }

        ObpDereferenceNameInfo( NameInfo );

        return( Status );
    }

        从上面给出的代码实现来看,该函数首先查看对象所对应的对象类型的QueryNameProcedure 函数,如果有的话,直接调用该函数,我们看到这里的对象类型为File ,文件类型是肯定有其QueryNameProcedure 的,但是我们需要通过WinDbg 函数验证这个调用过程,并通过WinDbg 找到File 对应的QueryNameProcedure 函数的地址。

这里写图片描述
        单步F10 直到调用ObpQueryNameString ,验证了我们的思路,之后F11 进入函数实现。

nt!ObpQueryNameString:
fffff800`041972f0 488bc4          mov     rax,rsp
fffff800`041972f3 4c894820        mov     qword ptr [rax+20h],r9
fffff800`041972f7 44894018        mov     dword ptr [rax+18h],r8d
fffff800`041972fb 48895010        mov     qword ptr [rax+10h],rdx
fffff800`041972ff 48894808        mov     qword ptr [rax+8],rcx
fffff800`04197303 53              push    rbx
fffff800`04197304 56              push    rsi
fffff800`04197305 57              push    rdi
fffff800`04197306 4154            push    r12
fffff800`04197308 4155            push    r13
fffff800`0419730a 4156            push    r14
fffff800`0419730c 4157            push    r15
fffff800`0419730e 4881ecc0000000  sub     rsp,0C0h
fffff800`04197315 4c8bf2          mov     r14,rdx
fffff800`04197318 c7442440010000c0 mov     dword ptr [rsp+40h],0C0000001h
fffff800`04197320 33ff            xor     edi,edi
fffff800`04197322 897c2450        mov     dword ptr [rsp+50h],edi
fffff800`04197326 48897c2448      mov     qword ptr [rsp+48h],rdi
fffff800`0419732b 8d7701          lea     esi,[rdi+1]
fffff800`0419732e 4088742431      mov     byte ptr [rsp+31h],sil
fffff800`04197333 40887c2430      mov     byte ptr [rsp+30h],dil
fffff800`04197338 4c8d79d0        lea     r15,[rcx-30h]
fffff800`0419733c 4c897c2470      mov     qword ptr [rsp+70h],r15
fffff800`04197341 410fb64718      movzx   eax,byte ptr [r15+18h]
fffff800`04197346 4c8d2db33ccbff  lea     r13,[nt!KiSelectNextThread <PERF> (nt+0x0) (fffff800`03e4b000)]
fffff800`0419734d 4d8b94c5807b2200 mov     r10,qword ptr [r13+rax*8+227B80h]
fffff800`04197355 41f6471a02      test    byte ptr [r15+1Ah],2
fffff800`0419735a 0f853b090000    jne     nt!ObpQueryNameString+0x9ab (fffff800`04197c9b)
fffff800`04197360 488bdf          mov     rbx,rdi
fffff800`04197363 48895c2468      mov     qword ptr [rsp+68h],rbx
fffff800`04197368 4d8b92a0000000  mov     r10,qword ptr [r10+0A0h]
fffff800`0419736f 4c3bd7          cmp     r10,rdi
fffff800`04197372 7445            je      nt!ObpQueryNameString+0xc9 (fffff800`041973b9)
fffff800`04197374 483bdf          cmp     rbx,rdi
fffff800`04197377 7505            jne     nt!ObpQueryNameString+0x8e (fffff800`0419737e)
fffff800`04197379 408af7          mov     sil,dil
fffff800`0419737c eb06            jmp     nt!ObpQueryNameString+0x94 (fffff800`04197384)
fffff800`0419737e 66397b08        cmp     word ptr [rbx+8],di
fffff800`04197382 74f5            je      nt!ObpQueryNameString+0x89 (fffff800`04197379)
fffff800`04197384 8a842420010000  mov     al,byte ptr [rsp+120h]
fffff800`0419738b 88442428        mov     byte ptr [rsp+28h],al
fffff800`0419738f 4c894c2420      mov     qword ptr [rsp+20h],r9
fffff800`04197394 458bc8          mov     r9d,r8d
fffff800`04197397 4c8bc2          mov     r8,rdx
fffff800`0419739a 408ad6          mov     dl,sil
fffff800`0419739d 41ffd2          call    r10

        我们观察到其中一个比较特别的指令,该指令通过硬编码从内存中取出一个值放到了r10。

fffff800`0419734d 4d8b94c5807b2200 mov     r10,qword ptr [r13+rax*8+227B80h]

        同时查看IDA 给出的反汇编后发现,IDA 解析处了该硬编码地址代表的含义为对象类型表。
这里写图片描述
        这样的话后面的指令就比较好理解了。如果对象对应的类型的ObpQueryNameString 不为NULL,调用它即可。
这里写图片描述

这里写图片描述

        我们来看一看Wrk 中给出的IopQueryNameInternal 函数实现。

NTSTATUS
IopQueryName(
    IN PVOID Object,
    IN BOOLEAN HasObjectName,
    OUT POBJECT_NAME_INFORMATION ObjectNameInfo,
    IN ULONG Length,
    OUT PULONG ReturnLength,
    IN KPROCESSOR_MODE Mode
    )

/*++

函数描述:

    This function implements the query name procedure for the Object Manager
    for querying the names of file objects.
    此函数为对象管理器中文件对象的解析名称函数。
Arguments:

    Object - Pointer to the file object whose name is to be retrieved.

    HasObjectName - Indicates whether or not the object has a name.

    ObjectNameInfo - Buffer in which to return the name.

    Length - Specifies the length of the output buffer, in bytes.

    ReturnLength - Specifies the number of bytes actually returned in the
        output buffer.

    Mode = Processor mode of the caller

Return Value:

    The function return value is the final status of the query operation.

--*/

{
    UNREFERENCED_PARAMETER (Mode);

    return IopQueryNameInternal( Object,
                                 HasObjectName,
                                 FALSE,//第三个参数传FALSE
                                 ObjectNameInfo,
                                 Length,
                                 ReturnLength,
                                 Mode );
}

NTSTATUS
IopQueryNameInternal(
    IN PVOID Object,
    IN BOOLEAN HasObjectName,
    IN BOOLEAN UseDosDeviceName,
    OUT POBJECT_NAME_INFORMATION ObjectNameInfo,
    IN ULONG Length,
    OUT PULONG ReturnLength,
    IN KPROCESSOR_MODE  Mode
    )

/*++
    UseDosDeviceName - 是否将文件对象的设备对象部分转换为dosdevice 形式的名称空间或者常规的\device 名称空间
--*/

{
    // ...
    // 我们当前的函数调用UseDosDeviceName 为FALSE
    if (UseDosDeviceName) {
        // ...
    } else {
        status = ObQueryNameString( (PVOID) fileObject->DeviceObject,
                                deviceNameInfo,
                                Length,
                                &lengthNeeded );
    }

    if (!NT_SUCCESS( status )) {
        if (status != STATUS_INFO_LENGTH_MISMATCH) {
            return status;
        }
    }
    p = (PWSTR) (ObjectNameInfo + 1);

    try {

        if (UseDosDeviceName && dosLookupSuccess) {

           // 当前UseDosDeviceName  为FALSE

        } else {

            RtlCopyMemory( ObjectNameInfo,
                           deviceNameInfo,
                           lengthNeeded > Length ? Length : lengthNeeded );
        }

        ObjectNameInfo->Name.Buffer = p;
        p = (PWSTR) ((PCHAR) p + deviceNameInfo->Name.Length);

        deviceNameOverflow = FALSE;
        if (lengthNeeded > Length) {
            *ReturnLength = lengthNeeded;
            deviceNameOverflow = TRUE;
        }

        // ...
        if (((Mode == UserMode) && (!UseDosDeviceName)) ||
            !(fileObject->Flags & FO_SYNCHRONOUS_IO)) {

            //
            // 如果从Ring3 调用的话,是符合((Mode == UserMode) && (!UseDosDeviceName)) 条件的
            // 如果不是同步I/O 操作的话,同样也要走到这里
            // Query the name of the file based using an intermediary buffer.
            //

            status = IopQueryXxxInformation( fileObject,
                                             FileNameInformation,
                                             length,
                                             Mode,
                                             (PVOID) fileNameInfo,
                                             &lengthNeeded,
                                             TRUE );
        } else {

            //
            // 如果是内核请求,而且文件是同步I/O 操作的话,需要一种不需要获得文件锁就获取文件文件名的方法。如果需要获得文件锁的话,可能导致死锁。因为文件锁可能已经被获得了。
            //

            status = IopGetFileInformation( fileObject,
                                     length,
                                     FileNameInformation,
                                     fileNameInfo,
                                     &lengthNeeded );
        }

    }

    finally {

        //
        // Finally, free the temporary buffer.
        //

        ExFreePool( buffer );
    }

    return status;
}

        下面我们简单验证上面的思路,然后最后查看Wrk 给出的两种获得文件名称的方法。
这里写图片描述

        下面我们查看函数IopQueryXxxInformation 的实现。

  ObReferenceObject( FileObject );

    //
    // 检查文件是否被同步打开,如果是的话,等待直到当前线程拥有该文件
    // 如果这个文件打开时指定的操作不是同步操作的话,初始化一个本地的事件。
    //

    if (FileObject->Flags & FO_SYNCHRONOUS_IO) {

        BOOLEAN interrupted;

        if (!IopAcquireFastLock( FileObject )) {
            status = IopAcquireFileObjectLock( FileObject,
                                               Mode,
                                               (BOOLEAN) ((FileObject->Flags & FO_ALERTABLE_IO) != 0),
                                               &interrupted );
            if (interrupted) {
                ObDereferenceObject( FileObject );
                return status;
            }
        }
        KeClearEvent( &FileObject->Event );
        synchronousIo = TRUE;
    } else {
        KeInitializeEvent( &event, SynchronizationEvent, FALSE );
        synchronousIo = FALSE;
    }

这里写图片描述

         现在查看另一个函数的操作。它为什么能够不获得锁而的到对象名称?

NTSTATUS
IopGetFileInformation(
    IN PFILE_OBJECT FileObject,
    IN ULONG Length,
    IN FILE_INFORMATION_CLASS FileInformationClass,
    OUT PVOID FileInformation,
    OUT PULONG ReturnedLength
    )

/*++

Routine Description:

    内核模式,通过对象管理器,想以异步方式获得同步打开的文件对象的信息的时候调用此函数。

--*/

{

    PIRP irp;
    NTSTATUS status;
    PDEVICE_OBJECT deviceObject;
    KEVENT event;
    PIO_STACK_LOCATION irpSp;
    IO_STATUS_BLOCK localIoStatus;

    PAGED_CODE();

    //
    // 操作之前引用对象,防止其被删除
    //

    ObReferenceObject( FileObject );

    //
    // 同步事件,通知我们的驱动,操作已经完成。
    //

    KeInitializeEvent( &event, SynchronizationEvent, FALSE );

    //
    // 得到文件对应的设备对象
    //

    deviceObject = IoGetRelatedDeviceObject( FileObject );

    //
    // 盛情并初始化一个IRP
    //

    irp = IoAllocateIrp( deviceObject->StackSize, FALSE );
    if (!irp) {

        // 出错的话直接解引用文件对象并退出。

        ObDereferenceObject( FileObject );
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    irp->Tail.Overlay.OriginalFileObject = FileObject;
    irp->Tail.Overlay.Thread = PsGetCurrentThread();
    irp->RequestorMode = KernelMode;

    //
    // 在IRP 中设置服务无关的参数。在irp 中设置特定的query name 标志可以确保将不会执行标准的同步文件的完成操作
    // 因为这个标志告诉I/O 完成不要这么做。
    // 这也就是为什么这个函数对于同步文件的操作与众不同
    // 设置异步APC 函数为NULL。

    irp->UserEvent = &event;
    irp->Flags = IRP_SYNCHRONOUS_API | IRP_OB_QUERY_NAME;
    irp->UserIosb = &localIoStatus;
    irp->Overlay.AsynchronousParameters.UserApcRoutine = (PIO_APC_ROUTINE) NULL;

    //
    // 设置主功能码。
    //

    irpSp = IoGetNextIrpStackLocation( irp );
    irpSp->MajorFunction = IRP_MJ_QUERY_INFORMATION;
    irpSp->FileObject = FileObject;

    //
    // 交互方式为缓冲区I/O 
    //

    irp->AssociatedIrp.SystemBuffer = FileInformation;
    irp->Flags |= IRP_BUFFERED_IO;

    //
    // Copy the caller's parameters to the service-specific portion of the
    // IRP.
    //

    irpSp->Parameters.QueryFile.Length = Length;
    irpSp->Parameters.QueryFile.FileInformationClass = FileInformationClass;

    //
    // 将IRP 插入到线程的IRP 列表的头部。
    //

    IopQueueThreadIrp( irp );

    //
    // 调用底层驱动
    //

    status = IoCallDriver( deviceObject, irp );

    //
    // 等待底层的驱动执行完毕后设置事件。
    //

    if (status == STATUS_PENDING) {
        (VOID) KeWaitForSingleObject( &event,
                                      Executive,
                                      KernelMode,
                                      FALSE,
                                      (PLARGE_INTEGER) NULL );
        status = localIoStatus.Status;
    }

    *ReturnedLength = (ULONG) localIoStatus.Information;
    return status;
}

         通过上面的代码我们可以发现,两个函数的实现的区别就是一个增加了同步的操作,一个没有,而且IopGetFileInformation 函数在irp 中设置IRP_OB_QUERY_NAME标志,这个标志告诉I/O 完成不要执行通常的同步文件操作完成时执行的操作,这也就是为什么这个函数对于同步文件的操作与众不同。
         通过上面的研究我们发现了,当Ring3 对于同步文件执行NtQueryObject 以获得文件名的时候,将导致线程死锁。而Ring0 获取文件名是不会导致线程死锁的,无论是同步文件还是异步文件。

kiki商
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtQueryObject 函数
93Storm
04-25 4138
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的...
NtQueryObject 卡死
weixin_33937778的博客
12-19 288
2019独角兽企业重金招聘Python工程师标准>>> ...
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1164
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6121
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象句柄计数和引用计数
简答——进程死锁
adlics_r的博客
12-22 379
什么是进程死锁?造成进程死锁原因? 如果多个进程同时占有对方需要的资源而同时请求对方的资源,并且在得到请求前不会释放所占有的资源,那么就会导致死锁的发生,也就是进程不能实现同步。 产生死锁原因可以归结为以下两点: (1)资源竞争;(2)进程间推进顺序非法
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
列举进程及进程打开的文件
01-04
DuplicateHandle NtQueryObject NtQuerySystemInformation EnumProcesses 知道的就不多说了,不知道的就不需说了
NtQueryObject的c++代码
05-06
NtQueryObject的c++代码
种类齐全的调试与反调试,来自GitHub
12-06
- Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread...
进程死锁
legend050709的专栏
09-03 908
 进程死锁:(deadlock) (一)死锁的定义: (1)背景: 在多道程序系统中,同时有多个进程并发运行,共享系统资源,从而提高了系统资源利用率,提高了系统的处理能力。但是,若对资源的管理、分配和使用不当,则会产生死锁或是饥饿。 (2)死锁定义: 几个进程请求资源发生环路,导致无法向前推进,永久阻塞的情况。 (二)死锁原因: (1)资源不足: (2)进程推荐顺序不合理:
死锁应用示例
weixin_34175509的博客
02-14 103
2019独角兽企业重金招聘Python工程师标准>>> ...
NtQueryObject 在 win8 x86 x64 下获取不到指定句柄文件名的原因
sffdsafsf的专栏
07-04 1668
由于研发的需要,碰到了这样一个问题,用 NtQueryInformationFile 列出系统的所有句柄,然后找到指定句柄文件名,然后将文件拷贝出来。但是  在 win8 x86  x64 下却获取不到指定句柄文件名,在国外论坛 与 MSDN 中到处疯狂搜索都没找到原因。调试了 N 次,才发现在 win8 x86  x64 系统下 ObjectTypeNumber 不再等于 28,  win7
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4411
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
windbg之经典死锁案例 及 相关命令
luchengbiao的博客
04-12 683
1 先上死锁代码 如下: #include "stdafx.h" #include <mutex> #include <thread> #include <windows.h> // windows系统中 std::mutex内部是通过Event内核对象实现的,而不是CRITICAL_SECTION std::mutex mtx0; std::mutex ...
mutex死锁追踪
Abrave_2007的专栏
08-27 897
void debug_mutex_init(gs_mutex_t *mutex, void *data) {     pthread_mutex_init(&mutex->mutex, data);     mutex->file[0]='\0';     mutex->line = 0; } void debug_mutex_destroy(gs_mutex_t *mutex
利用NtDuplicateObject进行Dump
最新发布
二狗的博客
08-10 448
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
阻塞与死锁(一)——基础知识
java开发指南博客 【转载】
05-16 196
阻塞与死锁是除内存、CPU、IO外另一个影响性能的因素。对OLTP系统尤为严重 一般以下问题是死锁的征兆: 1、 并发用户少的时候,一切正常,但是随着用户数量增多,性能越来越慢。 2、 客户端经常收到以下错误: Error 1222:Lock request time out period exceeded.(已超过锁请求超时时段) Error 1205:Your transaction...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值