NtQueryObject 函数

最新推荐文章于 2022-09-14 09:45:43 发布
最新推荐文章于 2022-09-14 09:45:43 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: windows技术文章翻译
本文详细介绍了Windows API中的NtQueryObject函数,包括其参数、返回值和相关结构体。该函数用于获取对象的各种信息,如基本信息、名称、类型等。注意,微软可能在未来更改或移除该函数,且不会提前通知。
摘要由CSDN通过智能技术生成

若翻译出现错误,请指出,本人会即时改正。

这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了)

函数声明:

NTSTATUS NtQueryObject(

_In_opt_  HANDLE  Handle,

_In_        OBJECT_INFORMATION_CLASS objectInformationClass,

_Out_opt_ PVOID   ObjectInformation,

_In_ ULONG ObjectInformationLength,

_Out_opt_ PULONG ReturnLength

);

参数:

Handle  [IN]

需要查询信息对象的句柄,可以为NULL

ObjectInformationClass [IN]

下列枚举类型中的某个值,指出被索引对象的类型。

typedef enum _OBJECT_INFORMATION_CLASS{

ObjectBasicInformation,  

ObjectNameInformation,

ObjectTypeInformation,

ObjectAllInformation,

ObjectDataInformation

}OBJECT_INFORMATION_CALSS,*POBJECT_INFORMATION_CLASS;

ObjectInformation[out]

指向存放返回信息缓冲区的指针。大小和信息存放格式依赖于ObjectInformationClass参数。

ObjectBasicInformation 对应结构为:OBJECT_BASIC_INFORMATION

ObjectNameInformation 对应结构为:OBJECT_NAME_INFORMATION

ObjectTypeInformation  对应结构为:OBJECT_TYPE_INFORMATION

ObjectAllInformation  对应结构为:   OBJECT_ALL_INFORMATION

ObjectDataInformation对应结构为:  OBJECT_DATA_INFORMATION

具体结构体细节,请参考链接:

http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FType%20independed%2FNtQueryObject.html

ObjectInformationLength [IN]

ObjectInformation参数的字节大小

ReturnLength[out]

返回信息需要空间的大小。如果此值小于或等于ObjectInformationLength的值,函数将信息复制到缓冲区中,否则函数返回NTSTATUS错误码,并将信息需要的字节数放入ReturnLength中。

返回值:

返回NTSTATUS或错误码

NTSTATUS的格式和意义在WDK的Ntstatus.h中列出,并在WDK文档中被形容。

参考原文链接:

链接一:

https://msdn.microsoft.com/en-us/library/bb432383(v=vs.85).aspx

链接二:

http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FType%20independed%2FNtQueryObject.html


小猪背书包
关注
专栏目录
NT 内核函数原型大全
墨鱼菜鸡
09-21 228
NTSYSAPINTSTATUSNTAPINtAcceptConnectPort(OUT PHANDLE PortHandle,IN PVOID PortIdentifier,IN PPORT_MESSAGE Message,IN BOOLEAN Accept,IN OUT PPORT_VIEW ServerView OPTIONAL,OUT PREMOTE_PORT_VIEW ClientVi...
Nt内核函数大全.doc
08-06
NtQueryObject:查询对象的属性,如它的名字,以便了解对象信息。 NtSetInformationObject:树立了一个对象的属性,以便设置对象信息。 6. 注册表管理: NtCreateKey:创建或打开一个注册表项,以便存储数据。 ...
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6219
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4448
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
NtQueryObject 卡死
weixin_33937778的博客
12-19 309
2019独角兽企业重金招聘Python工程师标准>>> ...
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2151
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
Nt内核函数大全[文].pdf
10-11
NtQueryObject函数:该函数用于查询对象的属性,参数包括对象的句柄和相关参数等信息。返回值为NTSTATUS类型,表示操作的结果。 NtSetInformationObject函数:该函数用于设置对象的属性,参数包括对象的句柄和相关...
windowsNt内核函数大全.doc
最新发布
05-15
- **NtQueryObject**:查询对象的属性,例如对象的名字。 - **NtSetInformationObject**:设置对象的属性。 - **NtTranslateFilePath**:转换文件路径的格式,便于跨命名空间访问文件。 #### 五、注册表管理 - *...
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
NtQueryObject 在 win8 x86 x64 下获取不到指定句柄文件名的原因
sffdsafsf的专栏
07-04 1703
由于研发的需要,碰到了这样一个问题,用 NtQueryInformationFile 列出系统的所有句柄,然后找到指定句柄的文件名,然后将文件拷贝出来。但是  在 win8 x86  x64 下却获取不到指定句柄文件名,在国外论坛 与 MSDN 中到处疯狂搜索都没找到原因。调试了 N 次,才发现在 win8 x86  x64 系统下 ObjectTypeNumber 不再等于 28,  win7
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1225
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
WhoUseMe 驱动实现
商少
07-30 682
前面写过一个应用层的查找谁占用了我们的文件的程序WhoUseMe http://blog.csdn.net/qq_18218335/article/details/62884657 从文中截图可以看出来,普通的应用层程序虽然可以达到枚举句柄的目的,但是对于一部分具有特殊权限的文件及端口句柄来说,调用NtQueryObject函数可能导致线程挂起,对此我们的解决办法是让一个单独的线程执行N
通过对象名(ObjectName)匹配,确定所属的进程
pureman_mega的博客
08-30 941
大概流程: 首先通过ZwQuerySystemInformation(SystemHandleInformation,*,*)获取句柄信息,然后根据句柄调用ZwQueryObject(*,ObjectNameInformation,*)获取对象名信息,最后匹配确定目标。示例是确定“\\Windows\\ApiPort"所属的进程。 需要注意的是用有的句柄调用ZwQueryObject会返回ST...
内核中的_OBJECT_INFORMATION_CLASS 结构
小驹的专栏
11-03 5403
实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO
在Qt中使用MFC,例子很简单,多余的废话也不多说
weixin_42951026的博客
09-14 3566
Qt与MFC
ObQueryNameString源码解读
misterliwei的专栏
08-20 5681
ObQueryNameString源码解读ObQueryNameString返回指定内核对象的名称。该函数只返回命名对象名称和拥有查询函数的对象名称,其他所有的对象都返回空结构。下一步是函数的步骤:第一步.先检查内核对象是否有专门的名称查询函数QueryNameProcedure函数,有则调用此函数并返回。WIXP中只有KEY和FILE对象         有专门的名称查询函数。第二步.检查是
深入学习System.SysUtils.pas
pulledup的博客
10-12 1652
深入学习System.SysUtils.pas 1、 // 求Unicode字符串的字节长度: function ByteLength(const S: string): Integer; inline; 2、 const netapi = 'netapi32.dll'; NERR_Success = 0; //Win32获取当前计算机所加入的工作组(WorkGroup...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值