由ObReferenceObject推导windows对象管理器

最新推荐文章于 2024-05-13 10:05:51 发布
最新推荐文章于 2024-05-13 10:05:51 发布
阅读量803 收藏
点赞数 1
分类专栏: 白话系列(事实解读名词) 文章标签: ObReferenceObject 对象管理器 OBJECT_HEADER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sqqsongqiqi/article/details/42556999
版权
本文深入解析了Windows内核中对象引用计数的实现原理,包括`ObReferenceObject`函数的工作流程,`CONTAINING_RECORD`宏的使用,以及`OBJECT_HEADER`结构体的解析。
摘要由CSDN通过智能技术生成 

#define ObReferenceObject(Object) ObfReferenceObject(Object)

LONG_PTR
FASTCALL
ObfReferenceObject (
    __in PVOID Object
    )

/*++

Routine Description:

    This function increments the reference count for an object.

    N.B. This function should be used to increment the reference count
        when the accessing mode is kernel or the objct type is known.

Arguments:

    Object - Supplies a pointer to the object whose reference count is
        incremented.

Return Value:

    None.

--*/

{
    POBJECT_HEADER ObjectHeader;
    LONG_PTR RetVal;

    ObjectHeader = OBJECT_TO_OBJECT_HEADER( Object );

    RetVal = ObpIncrPointerCount( ObjectHeader );
    ASSERT (RetVal != 1);
    return RetVal;
}


为什么要有这句话

ObjectHeader = OBJECT_TO_OBJECT_HEADER( Object );
#define OBJECT_TO_OBJECT_HEADER( o ) \
    CONTAINING_RECORD( (o), OBJECT_HEADER, Body )

关于CONTAINING_RECORD 这个宏的推导

//
// Calculate the address of the base of the structure given its type, and an
// address of a field within the structure.
//

#define CONTAINING_RECORD(address, type, field) ((type *)( \
                                                  (PCHAR)(address) - \
                                                  (ULONG_PTR)(&((type *)0)->field)))

有一篇文章介绍的很清楚 

这应该是原文地址吧   《我对CONTAINING_RECORD宏的详细解释》 不是的话请作者指出 我进行修正


到这里 我们引申出一个很重要的概念 Windows对象 (Object) 结构, 即对象管理器,不同类型的对象具有相同的Object Header,但Object Body部分却是不同的。

这里有一篇文章介绍的很清楚   Windows对象 (Object) 结构http://blog.csdn.net/sqqsongqiqi/article/details/42557815


我们看一下 OBJECT_HEADER 这个结构体

typedef struct _OBJECT_HEADER {
    LONG_PTR PointerCount;
    union {
        LONG_PTR HandleCount;
        PVOID NextToFree;
    };
    POBJECT_TYPE Type;
    UCHAR NameInfoOffset;
    UCHAR HandleInfoOffset;
    UCHAR QuotaInfoOffset;
    UCHAR Flags;

    union {
        POBJECT_CREATE_INFORMATION ObjectCreateInfo;
        PVOID QuotaBlockCharged;
    };

    PSECURITY_DESCRIPTOR SecurityDescriptor;
    QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;

我们看见 QUAD Body; 这个字段便是对象的实体部分,也就是我们经常接触到的DEVICE_OBJECT, FILE_OBJECT等具体的对象类型。

分析完 

ObjectHeader = OBJECT_TO_OBJECT_HEADER( Object );
这句话之后, 我们继续分析 

RetVal = ObpIncrPointerCount( ObjectHeader );
#define ObpIncrPointerCount(np)           ObpInterlockedIncrement( &np->PointerCount )
很简单的就是 OBJECT_HEADER 其中一个字段PointerCount的引用加1 。

至此ObReferenceObject(Object) 分析完毕。


如有错误,敬请指出, 不胜感激。


UnMovedMover
关注
专栏目录
列表推导式与字典推导式,滚雪球学 Python
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
03-03 1万+
列表推导式、字典推导式、集合推导式、生成器初识
绕x,y轴旋转曲面面积公式推导
热门推荐
ZJQ的博客
12-17 8万+
绕x轴旋转曲面面积公式:其中,y1(x)和y2(x)分别是旋转曲面的上下边界函数。绕y轴旋转曲面面积公式:其中,x1(y)和x2(y)分别是旋转曲面的上下边界函数。
windows对象管理入门理解
vincent_1011的专栏
12-10 3058
先来一张图。下面文字参考《 Undocumented Windows 2000 Secrets》  四1. Dispatcher对象 此类对象位于系统的最底层,在它们的对象体的开始处都有一个共享 的公共数据结构----DISPATCHER_HEADER(参见列表7-1)。在它们的对象头中包含一个对象类型ID和对
Windows对象管理器
weixin_33915554的博客
03-21 329
Windows对象管理器用于Windows资源管理,包括内核对象(文件对象,事件对象,互斥对象,进程对象,线程对象),GDI对象(位图,画刷,字体,调色板),User对象(快捷键,光标,菜单,窗体) 对象结构 常用的内核对象查看工具 Winobj Process Explorer 内核调试命令:!handle 转载于:https://blog.51cto.com/14207...
从XP到Win7看Windows对象管理的变化(概述)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 2461
从XP到Win7看Windows对象管理的变化(概述) 2010年08月01日 15:56 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。 事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win7以后,在
windows对象管理
lst1975的专栏
05-12 345
<br />   今天在调试一个SSDT的时候,我做了ZwSetValueKey的hook,本来希望在hook中将数值修改一下。以达到最终的效果,但在尝试的时候,总是出错。报0xC0000005的访问违例错误。我尝试了修改数据类型,将原来的数据类型修改为REG_DWORD结果还是不行,后来在调试过程中发现了MmUserProbeAddress。该函数功能是用于检查地址是否属于ring3的地址。我才想到,我在内核中声明的变量地址与hook中对象的句柄不在同一层。所以一直出现访问违例的现象。对于Windows
对象管理
多看看书和文档、少写点垃圾博客和代码
07-11 572
1. 对象目录          (1)总体结构                     (2)具体结构 0: kd> !object \ Object: 88405e30 Type: (84f436a0) Directory ObjectHeader: 88405e18 (new version) HandleCount: 0 Poin
彻底搞懂Python生成器推导
01-20
与列表推导式最大的不同是,生成器推导式的结果是一个生成器对象。生成器对象类似于迭代器对象,具有惰性求值的特点,只在需要时生成新元素,比列表推导式具有更高的效率,空间占用非常少,尤其适合大数据处理的场合...
Python生成器推导
weixin_52277317的博客
08-23 2746
Python 生成器推导式 趁刚总结的列表推导式还热乎,来看看生成器推导式。 有需要了解列表推导式的小伙伴可以去看之前我的总结Python列表推导式 一.列表推导式VS生成器推导式 1.从形式上看,生成器推导式与列表推导式非常接近,只是生成器推导式使用圆括号而不是列表推导式所使用的方括号。 2.与列表推导式不同的是,生成器推导式的结果是一个生成器对象,而不是列表,也不是元祖。但使用生成器对象的元素时,可以根据需要将其根据需要转化为列表或者元祖。 二.生成器推导式 starting… 废话不多说,直接以实例
【Python指南 | 第七篇】推导式、迭代器、生成器,这一篇就够了
等风来
01-03 2191
在这篇文章中将介绍推导式、迭代器、生成器的相关知识点。推导式是一种独特的数据处理方式,可以从一个数据序列构建另一个新的数据序列的结构体。实例如下,过滤掉长度小于或等于3的字符串列表,并将剩下的转换成大写字母:元组推导式可以利用 range 区间、元组、列表、字典和集合等数据类型,快速生成一个满足指定需求的元组。
浅析windows对象管理
10-15 1147
作者:Sysnap 出处:http://hi.baidu.com/sysnap 标题:Windows 对象管理把以前的对象笔记帖上来...后面多加了俩个 函数..来加深理解...一个是ZwQueryDirectoryObject来检测隐藏驱动一个是让ZwQueryDirectoryObject检测不了的...代码比较简单..先看前面的理论再去理解后面的函数...应该可以编译出来的..否则那个函数你
Windows内核情景分析》对象管理
strongxu的专栏
01-13 2288
    对象的数据结构都是由对象头和具体对象类型的数据结构两部分组成。对象OBJECT_HEADER在下,它的上方是具体对象类型的数据结构本身。 nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Pt
windows对象
daojin505的专栏
08-07 279
http://msdn.microsoft.com/en-us/library/ms724515(v=VS.85).aspx
探索Windows对象管理器的宝藏——WinObjEx64
最新发布
gitblog_00078的博客
05-13 514
探索Windows对象管理器的宝藏——WinObjEx64 WinObjEx64Windows Object Explorer 64-bit项目地址:https://gitcode.com/gh_mirrors/wi/WinObjEx64 WinObjEx64 是一款64位的Windows对象浏览器,它提供了一个高级工具来探索Windows对象管理器命名空间。这款强大的工具不仅可以揭示系统的内...
对象管理---3
For Geek
05-26 513
对象的创建 依旧是针对定时器,定时器对象的创建是通过NtCreateTimer来的。 构成这个系统调用的三个步骤是 通过ObCreateObject创建目标对象 对具体对象做相应的本身的初始化 通过ObInsertObject将目标对象插入对象目录和句柄表,并返回句柄。 凡是创建对象的系统调用,都要提供至少两个输入参数。其中之一就是DesiredAccess,这个参数的含义是创建对象的访问模式...
[Windows内核源码分析1] 引导过程(对象管理器初始化在Phase0部分的分析)
輚至消亡
10-05 619
本文章记录分析对象管理器windows系统引导的阶段0中的初始化工作。沿着该目录下的链表进行遍历,如果找到了HASH值相等的对象,则获取其HASH值对应对象的头部, 并获取其中的。利用该HASH值找到对应的全局名字空间中特定的对象目录,并获取其结点的指针, 接着锁住该目录。的创建过程, 其主要调用了ExCreateHandleTable函数。其将新的对象插入到对应的目录下的链表中,这样就完成了插入目录的操作。实际上都是初始化system进程的EPROCESS结构体中的对象。接下来仔细查看一下这个。
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1521
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
Windows对象 (Object) 结构
sqqsongqiqi的专栏
01-09 2363
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器Object Manager
复习:windows对象管理(1)内核对象组织结构
Returns' Station
07-25 1808
好久没来了!最近在整理以前的一些笔记,也希望把以前学过但没记下来的东西补全,于是这是新一轮复习的第一篇。 一、一些概念 xp下内核对象的布局结构如下(由低到高): object quota info object handle info object name info object creater info OBJECT_HEADER object 对象在内核中以哈希树
面向对象的需求分析与系统设计推导教程
"本资源是一份关于需求分析与系统设计面向对象推导过程的内部培训材料,撰写于几年前,旨在指导设计人员如何编写有效的面向对象设计说明书。作者承认部分内容可能源于网络,主要目的是解释设计说明书的编写原则、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值