[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)

最新推荐文章于 2021-11-20 22:03:13 发布
最新推荐文章于 2021-11-20 22:03:13 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Win下NT式驱动编程学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/109145363
版权

1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数

2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用

第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的:

NTKERNELAPI NTSTATUS ObReferenceObjectByName(
	IN PUNICODE_STRING ObjectName,
	IN ULONG Attributes,
	IN PACCESS_STATE PassedAccessState OPTIONAL,
	IN ACCESS_MASK DesiredAccess OPTIONAL,
	IN POBJECT_TYPE ObjectType,
	IN KPROCESSOR_MODE AccessMode,
	IN OUT PVOID ParseContext OPTIONAL,
	OUT PVOID *Object);
extern POBJECT_TYPE IoDeviceObjectType;
extern POBJECT_TYPE *IoDriverObjectType;
  • ObjectName是设备对象名
  • Attributes一般是OBJ_CASE_INSENSITIVE
  • PassedAccessState一般是NULL
  • DesiredAccess是FILE_ALL_ACCESS
  • ObjectType使用IoDeviceObjectType可以获取文件指针
  • ParseContext一般是NULL
  • Object是返回文件指针

返回值: NTSTATUS类型状态码代表获得的结果是否成功

可以通过ObReferenceObjectByName来实现IoGetDeviceObjectPointer, 下面是实现过程:

// 这也是一个未公开的函数,目的是通过文件对象指针获取设备对象指针
NTKERNELAPI PDEVICE_OBJECT NTAPI IoGetBaseFileSystemDeviceObject(IN PFILE_OBJECT FileObject);

NTSTATUS _IoGetDeviceObjectPointer(IN PUNICODE_STRING ObjectName, 
								   IN ACCESS_MASK DesiredAccess,
								   OUT PFILE_OBJECT *FileObject,
								   OUT PDEVICE_OBJECT *DeviceObject) {
	PFILE_OBJECT fileObj;
	OBJECT_ATTRIBUTES objectAttributes;
	HANDLE fileHandle;
	IO_STATUS_BLOCK ioStatus;
	NTSTATUS status;

	InitializeObjectAttributes(&objectAttributes, ObjectName, OBJ_KERNEL_HANDLE, (HANDLE)NULL, (PSECURITY_DESCRIPTOR)NULL);
	status = ZwOpenFile(&fileHandle, DesiredAccess, &objectAttributes, &ioStatus, 0, FILE_NON_DIRECTORY_FILE);
	if (NT_SUCCESS(status)) {
		status = ObReferenceObjectByHandle(fileHandle, 0, *IoFileObjectType, KernelMode, (PVOID)&fileObj, NULL);
		if (NT_SUCCESS(status)) {
			*FileObject = fileObj;
			*DeviceObject = IoGetBaseFileSystemDeviceObject(fileObj); // 通过文件对象获取设备对象指针
		}
		ZwClose(fileHandle);
	}

	return(status);
}

以上是通过ObReferenceObjectByName来模拟IoGetDeviceObjectPointer,下面来看看在具体IRP中是如何使用的,例子如下:

NTSTATUS ReadRoutine(IN PDEVICE_OBJECT pDev, IN PIRP pIrp) {
	KdPrint(("进入了Driver的ReadRoutine!\n"));
	NTSTATUS status = STATUS_SUCCESS;

	UNICODE_STRING DevName;
	RtlInitUnicodeString(&DevName, L"\\Device\\AKA");

	PDEVICE_OBJECT pDevObj;
	PFILE_OBJECT pfileObj;
	status = _IoGetDeviceObjectPointer(&DevName, FILE_ALL_ACCESS, &pfileObj, &pDevObj);
	KdPrint(("_IoGetDeviceObjectPointer获取文件对象地址%08X, 设备对象地址%08X", pfileObj, pDevObj));
	ObDereferenceObject(pfileObj);
	status = ObReferenceObjectByName(&DevName, OBJ_CASE_INSENSITIVE, NULL, FILE_ALL_ACCESS, IoDeviceObjectType, KernelMode, NULL, (PVOID *)&pDevObj);
	KdPrint(("ObReferenceObjectByName获取设备对象地址%08X\n", pDevObj));
	ObDereferenceObject(pDevObj);
	
	pIrp->IoStatus.Status = status;
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	KdPrint(("离开了Driver的ReadRoutine!\n"));

	return(status);
}

(完)

Kiopler
关注
专栏目录
设备扩展(DEVICE_EXTENSION)
技术联盟
01-05 1674
设备扩展(DEVICE_EXTENSION)是与设备对象相关的另一种重要的数据结构。可以用它来保存与特定设备关联的信息。设备扩展其实只是一个未分页的池,由驱动开发者来定义它的大小和内容。并由I/O管理器自动把它分配给设备对象,即设备对象的PVOID DeviceExtension字段。由于此结构是驱动开发者自定义的,所以必须要让系统知道需要给此结构预留多少空间,因此要把设备扩展结构的大小作为参数传递给IoCreateDevice函数。I/O管理器的IoCreateDevice函数将为设备对象设备扩展对象.
驱动对象(DRIVER_OBJECT
BpLife
12-03 921
每个驱动程序会有唯一的DRIVER_OBJECT驱动对象与之对应,并且这个DRIVER_OBJECT是在驱动加载时候,被内核中的对象管理器所创建。它作为驱动一个实例被内核加载,并且内核对一个驱动只加载一个实例。确切的说,是由内核的I/O管理器负责加载的。驱动程序需要在DriveEntry中初始化。 typedef struct _DRIVER_OBJECT { CSHORT Type;
蛋疼的ObReferenceObjectByName调试
The New Old Things
10-11 6425
今天花了近一天的时间都在调试ObReferenceObjectByName这个内核函数,结果却无比狗血。故写篇文章记录一下这一天蛋疼的调试记录。 其实说是调试,其实是一直编译连接不通过。今天在研究楚狂人(其实是360的大牛wowocock写的代码,楚狂人进行了简化处理)的键盘过
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1504
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
ObReferenceObjectByName 函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 540
这是一个DDK未公开的内核函数,DDK的所有.h头文件中没有关于这个函数的声明,因此不可能通过包含某个头文件后就能使用,需要自己声明.C++中如下声明: #pragma once #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     I
ObReferenceObjectByName 函数解析
weixin_30311605的博客
12-05 205
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, I...
ObReferenceObjectByName函数使用解析
Windows内核学习笔记
07-08 950
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STAT
PDEVICE_OBJECT结构体定义
最新发布
07-06
PDEVICE_OBJECTWindows操作系统中设备驱动程序接口的一部分,它代表了一个设备对象,它是设备树中的节点,用于描述硬件设备以及它们之间的相互关系。这个结构体包含了一些关键信息,如设备名、I/O请求包处理函数、...
Windows内核原理与实现之驱动对象设备对象
首席技术总监的专栏
12-09 858
当 I/O 管理器加载一个设备驱动程序时,它会创建一个驱动程序对象,该对象对象管理器目录中的路径为:\Driver\<DriverName>或\FileSystem\<DriverName>。如果是文件系统类型的驱动程序,则该对象被放置在 "\FileSystem"目录下,否则放在"\Driver"目录下。因此,驱动程序可粗略地分为文件系统驱动程序和非文件系统驱动程序。 ...
WDK驱动开发之路——创建一个设备进行简单交互
AuddyTab的博客
11-20 397
0环代码 #include <ntifs.h> #define DEVICE_NAME L"\\Device\\MyDevice" #define SYMBOL_NAME L"\\??\\MyDevice" void DriverUnload(PDRIVER_OBJECT pobject) { DbgPrint("Driver Unload Successful!!"); if (pobject->DeviceObject) { IoDeleteDevice(pobj
获得DISK的DeviceObject
08-23 936
很久没有写代码了,最近简单的看了一下disk相关的东西,写了段代码share一下。先用livekd看一下Disk.sys DriverObject的一些信息:kd> !drvobj /driver/diskDriver object (89885a08) is for:/Driver/DiskDriver Extension List: (id , addr)(f763e3be 898858f
ObReferenceObjectByName通过对象名得到对象指针_例如 设备 事件 互斥体
07-06 420
extern "C" { NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STATE PassedAccessState OPTIONAL, IN ACCESS_MASK Desired...
设备对象(DEVICE_OBJECT)-----------------主要成员
weixin_30342827的博客
06-26 163
一、设备对象(DEVICE_OBJECT) kd> dt _device_objectntdll!_DEVICE_OBJECT +0x000 Type : Int2B +0x002 Size : Uint2B +0x004 ReferenceCount : Int4B +0x008 DriverObject : P...
Windows 驱动获取指定的设备对象
Vinx Blog
06-07 6367
转载自:http://tudian2007.blog.163.com/blog/static/3156641320137295338938/Windows 驱动获取指定的设备对象  众所周知应用层要和驱动层通讯的话需要先打开驱动设备对象,因为驱动设备名只是对内核模式中的驱动所识别的,应用层是无法识别的,所以一般驱动都有对应的symboliclink供应用层用使用的,如”\\.\C:”,”\??\C
ObReferenceObjectByName函数调用WIN7下的解决
04-28 159
《寒江独钓 Windows内核安全编程》第4章键盘的过滤ctrl2cap代码中,ObReferenceObjectByName函数调用: 【1】extern POBJECT_TYPE IoDriverObjectType; 【2】status = ObReferenceObjectByName ( &...
ObReferenceObjectByName的使用
weixin_34186128的博客
06-29 260
声明 extern POBJECT_TYPE *IoDriverObjectType; NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STATE PassedAccessSt...
note : ObReferenceObjectByName usage
谢绝(无视)留言与私信
09-11 1395
得到驱动对象 .h /// 系统全局变量声明 extern POBJECT_TYPE *IoDriverObjectType; /// 常量, 用WinObj.exe 可以看到 #define DRVOBJ_NAME_XX L"\\xx" NTSTATUS GetDriverObject( WCHAR * pcDriverObjectName, PDRIVER_
PDEVICE_OBJECT 的定义
01-03 2312
 PDEVICE_OBJECT 定义在 ntddk.h中 typedef struct _DRIVER_EXTENSION {    //    // Back pointer to Driver Object    //    struct _DRIVER_OBJECT *DriverObject;    //    // The AddDevice entry point
ObReferenceObjectByName用法(自己测试成功)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 3854
//全局的一个对象类型 extern POBJECT_TYPE *IoDriverObjectType;  函数原型声明 NTSTATUS ObReferenceObjectByName (     __in PUNICODE_STRING ObjectName,     __in ULONG Attributes,     __in_opt PACCESS_STATE Acce
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值