ObReferenceObjectByName函数使用解析

最新推荐文章于 2022-06-03 18:10:11 发布
最新推荐文章于 2022-06-03 18:10:11 发布
阅读量1.5k 收藏
点赞数
分类专栏: c++编程 文章标签: ObReferenceObjectByName
  1. 一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明:  
  2.   
  3. #ifdef __cplusplus  
  4. extern "C"  
  5. {  
  6. #endif  
  7. #include <NTDDK.h>  
  8.   
  9. NTKERNELAPI  
  10. NTSTATUS  
  11. ObReferenceObjectByName(  
  12.     IN PUNICODE_STRING ObjectName,  
  13.     IN ULONG Attributes,  
  14.     IN PACCESS_STATE PassedAccessState OPTIONAL,  
  15.     IN ACCESS_MASK DesiredAccess OPTIONAL,  
  16.     IN POBJECT_TYPE ObjectType,  
  17.     IN KPROCESSOR_MODE AccessMode,  
  18.     IN OUT PVOID ParseContext OPTIONAL,  
  19.     OUT PVOID *Object  
  20.     );  
  21. extern POBJECT_TYPE * IoDeviceObjectType;  
  22. #ifdef __cplusplus  
  23. }  
  24. #endif  
  25.   
  26. 二、使用  
  27.   
  28. 调试ObReferenceObjectByName发现,  
  29.   
  30. (1)可以根据驱动名称可以得到PDRIVER_OBJECT,进而得到该驱动的PDEVICE_OBJECT。  
  31.   
  32. (2)根据设备名称取到PDEVICE_OJBECT为0。  
  33.   
  34. (3)根据符号链接名称取到PDEVICE_OJBECT的地址并不是设备对象地址。  
  35.   
  36. 调试代码如下:  
  37.   
  38.  UNICODE_STRING DeviceName;  
  39. // RtlInitUnicodeString( &DeviceName, L"\\??\\HelloDDKA" );  
  40. // RtlInitUnicodeString( &DeviceName, L"\\??\\DriverA" );  
  41.  RtlInitUnicodeString( &DeviceName, L"\\Driver\\DriverA" );  
  42.   
  43.  PDEVICE_OBJECT DeviceObject = NULL;  
  44.  PFILE_OBJECT FileObject = NULL;  
  45.  PDRIVER_OBJECT pDriver = NULL;  
  46. //  ntStatus = ObReferenceObjectByName(&DeviceName,OBJ_CASE_INSENSITIVE,NULL,FILE_ALL_ACCESS,IoDeviceObjectType,KernelMode,NULL,(PVOID*)&DeviceObject);  
  47.  ntStatus = ObReferenceObjectByName(&DeviceName,OBJ_CASE_INSENSITIVE,NULL,FILE_ALL_ACCESS,IoDeviceObjectType,KernelMode,NULL,(PVOID*)&pDriver);  
  48.    
  49.  DeviceObject = pDriver->DeviceObject;  
  50.  PDEVICE_EXTENSION pdx = (PDEVICE_EXTENSION)DeviceObject->DeviceExtension;  
  51.   
  52.  三、关闭引用  
  53.   
  54. 调用上面的ObReferenceObjectByName对象指针,当得到的对象不再使用后,记得调用ObDereferenceObject关闭引用。  
  55.   
  56. (1)如果得到的是驱动对象,则关闭驱动对象引用,如ObDereferenceObject(pDriver)  
  57.   
  58. (2)如果得到是设备对象,则关闭设备对象引用,如ObDereferenceObject(deviceObject)  
  59.   
  60. (3)如果得到的是文件对象,则关闭文件对象引用,如ObDereferenceObject(fileObject)  

重点注意:获取键盘驱动对象 NTSTATUS status = ObReferenceObjectByName(&uKbdDriverName, OBJ_CASE_INSENSITIVE, NULL, FILE_ALL_ACCESS, *IoDriverObjectType, KernelMode, NULL, (PVOID *)&g_pKdbDriverObj);*IoDriverObjectType前面有个*号否则失败!声明的时候前面也带*号.

 

 

小草变大树
关注
专栏目录
蛋疼的ObReferenceObjectByName调试
The New Old Things
10-11 6432
今天花了近一天的时间都在调试ObReferenceObjectByName这个内核函数,结果却无比狗血。故写篇文章记录一下这一天蛋疼的调试记录。 其实说是调试,其实是一直编译连接不通过。今天在研究楚狂人(其实是360的大牛wowocock写的代码,楚狂人进行了简化处理)的键盘过
C++函数指针和回调函数使用解析
01-20
函数指针 函数指针是指向函数的指针变量。 通常我们说的指针变量是指向一个整型变、字符型或数组等变量,而函数指针是指向函数函数指针可以像一般函数一样,用于调用函数、传递参数。 函数指针变量的声明: ...
ObReferenceObjectByName 函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 544
这是一个DDK未公开的内核函数,DDK的所有.h头文件中没有关于这个函数的声明,因此不可能通过包含某个头文件后就能使用,需要自己声明.C++中如下声明: #pragma once #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     I
ObReferenceObjectByName使用
weixin_34186128的博客
06-29 265
声明 extern POBJECT_TYPE *IoDriverObjectType; NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STATE PassedAccessSt...
ObReferenceObjectByName函数调用WIN7下的解决
04-28 163
《寒江独钓 Windows内核安全编程》第4章键盘的过滤ctrl2cap代码中,ObReferenceObjectByName函数调用: 【1】extern POBJECT_TYPE IoDriverObjectType; 【2】status = ObReferenceObjectByName ( &...
ObReferenceObjectByName通过对象名得到对象指针_例如 设备 事件 互斥体
07-06 421
extern "C" { NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STATE PassedAccessState OPTIONAL, IN ACCESS_MASK Desired...
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1510
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
STFT.rar_STFT函数使用_stft_时域解析_长窗
07-13
短时傅里叶变换是一种基于窗函数的变换,短窗能够提供较好的时域解析度,长窗能够提供较好的频域解析度。
函数的概念与基本初等函数考点解析,函数的概念与基本初等函数知识点总结.pptx
07-31
函数的概念与基本初等函数考点解析,函数的概念与基本初等函数知识点总结
Python 使用splitlines()函数正确解析数据库中的text文本中换行内容 Python源码
最新发布
10-26
Python 使用splitlines()函数正确解析数据库中的text文本中换行内容 Python源码Python 使用splitlines()函数正确解析数据库中的text文本中换行内容 Python源码Python 使用splitlines()函数正确解析数据库中的...
dll函数解析器.zip
04-24
了解并掌握DLL函数解析器的使用,对于软件开发者、系统管理员以及安全研究人员来说都是一项重要的技能。它可以用于排查程序依赖问题,调试程序错误,或者在逆向工程中分析恶意软件的行为。通过这个工具,用户可以...
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
wowbell的专栏
03-17 2169
今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:================================================================================= 原文:http://www.boxcounter.org/?action=show&id=13前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,
ObDereferenceObject routine
weixin_30596023的博客
06-07 197
ObDereferenceObject routine The ObDereferenceObject routine decrements the given object's reference count and performs retention checks.ObDereferenceObject 例程减少指定对象的引用计数,并执行retention check. 语法:VOID ...
ObReferenceObjectByName vs IoGetDeviceObjectPointer
weixin_34416754的博客
06-29 275
ObReferenceObjectByName 可以返回任意对象地址。它的本质是使用ObpLookupObjectName对 “\A\B\C”逐级解析。 IoGetDeviceObjectPointer 只能返回设备对象地址。它的本质是调用ZwOpenFile得到设备句柄,然后调用ObReferenceObjectByHandle得到设备对象指针。 转载于:https://www.cnblogs...
三。对象创建(ObCreateObject)和对象删除(ObDereferenceObjectObpRemoveObjectRoutine)
求索
02-16 9371
三。对象创建(ObCreateObject)和对象删除(ObDereferenceObjectObpRemoveObjectRoutine)
ObDereferenceObjectDeferDelete routine
weixin_30251829的博客
06-07 117
The ObDereferenceObjectDeferDelete routine decrements the reference count for the given object, checks for object retention, and avoids deadlocks.ObDereferenceObjectDeferDelete例程减少指定对象的引用计数,检查对象保留(不明白...
11.driverbase-IoGetDeviceObjectPointer源码(need ObDereferenceObject)
hgy413的专栏
12-25 1498
DDK Build编译的时候,使用3个文件来描述被编译的源码,其中SOURCES和Makefile是必须的,而DIRS则只在划分目录的时候有用。Makefile在这里作用并不大但是必须和SOURCES文件成对出现,关键还是SOURCES和DIRS文件。 SOURCES文件用于描述其所在目录下,有哪些文件参与编译,编译的结果应该是什么(是一个lib还是一个sys?),输出目录在哪里,要传递
ObReferenceObjectByName用法(自己测试成功)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 3871
//全局的一个对象类型 extern POBJECT_TYPE *IoDriverObjectType;  函数原型声明 NTSTATUS ObReferenceObjectByName (     __in PUNICODE_STRING ObjectName,     __in ULONG Attributes,     __in_opt PACCESS_STATE Acce
对象创建(ObCreateObject)和对象删除(ObDereferenceObjectObpRemoveObjectRoutine)
qq492927689的博客
06-03 732
转载来源:https://blog.csdn.net/wzsy/article/details/6188554为对象分配内存看完了, 这次我们看一个比较高层的函数ObCreateObject, 这是内核的导出函数, 所有模块都可以使用(虽然它没有被文档化…) 它的作用是创建指定类型(OBJECT_TYPE)的对象示例。(注意ObAllocateObject只是分配了空间, 这里可以看到后续的操作) 这个函数的参数还真多啊。微软函数的参数一直都和火车一样。我们只能淡定。。。 NTSTATUS ObCrea
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值