[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer

最新推荐文章于 2023-10-21 16:13:42 发布
最新推荐文章于 2023-10-21 16:13:42 发布
阅读量2.1k 收藏 1
点赞数
文章标签: object attributes access windows string blog

今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:

=================================================================================
原文:http://www.boxcounter.org/?action=show&id=13

 

前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。

 

我写的程序需要挂在文件系统上,我看《Programming the Windows Driver Model 》中用IoGetDeviceObjectPointer

 

 

 

NTSTATUS 
  IoGetDeviceObjectPointer(
    IN PUNICODE_STRING   ObjectName ,
    IN ACCESS_MASK   DesiredAccess ,
    OUT PFILE_OBJECT   * FileObject ,
    OUT PDEVICE_OBJECT   * DeviceObject
    );

 

 

来获取要挂载的驱动对象,于是我也采用了相同的方法,但是却发现始终无法获取到"//FileSystem//Ntfs" 和//FileSystem//FastFat " , 参考了sinister的WssHookFS驱动程序,发现是用ObReferenceObjectByName 来获取的,试了下,果然成功了。于是很想 知道这两个函数的区别,自己琢磨了下win2K的源码,无奈功力不够,看来半天,也没发现什么蹊跷,上网搜现成的,得到下面的资料,感谢原作者 flyingkisser

 

 

    有时,我们需要得到像"/Device/XXX"或"/Driver/XXX"这种对象的地址,一般想到的最方便的方法是就是用 ObReferenceObjectByName .

 

 

NTKERNELAPI
NTSTATUS
ObReferenceObjectByName(
    IN PUNICODE_STRING ObjectName,
    IN ULONG Attributes,
    IN PACCESS_STATE PassedAccessState OPTIONAL,
    IN ACCESS_MASK DesiredAccess OPTIONAL,
    IN POBJECT_TYPE ObjectType,
    IN KPROCESSOR_MODE AccessMode,
    IN OUT PVOID ParseContext OPTIONAL,
    OUT PVOID *Object
    );

 

这个函数没有公开,但是被导出了。其参数也比较简单,没什么多说的。比如我们想得到"/Driver /KbdClass"对象的地址,调用这个函数可以轻易获得。然而,当我们用这个API去获/Device/KeyboardClass0"对象的地址 时,总是返回0xC0000024,即STATUS_OBJECT_TYPE_MIMATCH对象的类型不匹配,这是哪门子错误,虽然,此路不通时,还有 别的方法可以获得这个对象的地址,但是,我总想把这个问题搞清楚,于是在xp下面逆向了一个这个函数,并结合win2k源代码,最后终于找到了问题所在。


    ObReferenceObjectByName是ObpLookupObjectName 的包裹函数,对于给定的"/X1/X2"这样的名称,
ObpLookupObjectName会通过ObpLookupDirectoryEntry得到"/X1"对象的地址,再定位到对象头,由对象头再找 到对象类型的对象的地址,然后再判断一下类型对象->TypeInfo->ParseProcedure有没有值,如果不为空,则调 用。    如果为空,则不调用(嗯,的确是费话...).对于"/Device"或是"/Driver",他们的类型对象的ParseProcdedure都是空, 所以代码继续往下走,再通过ObpLookupDirectoryEntry得到"/X1/X2"对象的地址,然后,和上面是同样的过程,先定位到对象 头,再找到对象类型对象的地址,再判断类型对象->TypeInfo->ParseProcedure是不是为空.如果是Driver类型的 对象,它的Type对象,名称为Driver,其ParseProcedure为空,没有被调用,成功返回如果是Device类型的对象,它的Type对 象,名称为Device,其ParseProcedure不为空,指向IopParseDevice,而在IopParseDevice内部,会对传入的 一个参数进行检测,这个参数就是我们调用ObReferenceObjectByName()时给定的第7个参数:ParseContext.先把这个指 针转换成指向OPEN_PACKET类型的指针如果这个指针为空,或是这个结构体的Type成员不等于O_TYPE_OPEN_PACKET或者Size 成员不等于sizeof(OPEN_PACKET)就返回0xC0000024错误,即STATUS_OBJECT_TYPE_MIMATCH.而这个参 数一般我们给定的都是空。所以,ObReferenceObjectByName最终返回了STATUS_OBJECT_TYPE_MIMATCH。

    其实这里win2k源代码中是有一段注释的,意思是保证这个Routine的调用是从NtCreateFile()发起的,而不是其实任意的对象打开或创 建操作发起的,尽是这个参数被标记为"可选的".所以,看到这里大家应该清楚了吧,说到底,还是我们被M$玩弄了。


那么,如何解决这个问题呢?
我本想搞清楚这个ParseContext指向的OPEN_PACKET类型的结构体如何初始化的,不过在IopParseDevice里面会看到大量使 用了这个结构体的成员,所以,我觉得分析下去挺没意思了,体力活,实在不想干。其实解决这个问题也很简单,调用 IoGetDeviceObjectPointer()就是了,当然,从它的名称也能看出,它只能得到Device类型的对象的地址 。其实 比较稳妥的方法是调用ZwCreateFile()得到给定名称的对象的句柄,再用ObReferenceObjectByHandle就能得到对象的地 址了,然后句柄就可以ZwClose掉了,最后对象用完以后可别忘了ObDereferenceObject一下。

wowbell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
FUTo: Bypassing Blacklight and IceSword
04-07 9057
By: petersilberman  This article was released in the Uninformed Journal Vol 3. It is important to remember that this article displays Proof of Concept (POC) ideas and code. FUTo may result in spec
91.vido.ws v.php,"token" parameter not in video info for unknown reason;
热门推荐
weixin_35307279的博客
03-29 89万+
youtube-dl -v --dump-pages https://www.youtube.com/watch?v=USg3NR76XpQ output[debug] System config: [][debug] User config: [u'--add-metadata', u'--user-agent', u'Mozilla/5.0 (X11; Ubuntu; Linux x86_64...
iOS编译报错: "_OBJC_CLASS_$_QQApiInterface", referenced from: XXXXXX.o
跳舞的芒果
09-21 5891
"_OBJC_CLASS_$_QQApiInterface", referenced from: XXXXXX.o
stringstringBuilder区别
kiven
12-25 9407
String 对象 是不可改变的。每次使用 System.String 类的方法之一时,都要在内存创建一个新的字符串对象,这就需要为该新对象分配新的空间。在需要对字符串执行重复修改的情况下,与创建新的 String 对象相关的系统开销可能会非常昂贵。如果要修改字符串而不创建新的对象,则可以使用 System.Text.StringBuilder 类。 StringBulider
windows驱动开发技术详解-part2
07-06
 本章介绍了驱动程序常用的同步处理办法,并且将内核模式下的同步处理方法和用户模式下的同步 处理方法做了比较。另外,本章还介绍了断请求级、自旋锁等同步处理机制。  8.1 基本概念  8.1.1 问题的引出 ...
Windows驱动开发技术详解的光盘-part1
07-06
 本章介绍了驱动程序常用的同步处理办法,并且将内核模式下的同步处理方法和用户模式下的同步处理方法做了比较。另外,本章还介绍了断请求级、自旋锁等同步处理机制。  8.1 基本概念  8.1.1 问题的引出  ...
最简单的驱动helloWDM
05-07
这是一个最简单的驱动程序,新手可以看一下。这是驱动的第一步!
QQ密码记录程序
05-15
status=IoGetDeviceObjectPointer(&deviceName;,FILE_ALL_ACCESS,&fileOjbect;,&deviceObject;); pdoDeviceObj->Flags |= DO_BUFFERED_IO; pdx=(PDEVICE_EXTENSION)pdoDeviceObj->DeviceExtension; pdx->pDevice=...
U盘加密工具(安全必备)
04-16
标题 "U盘加密工具(安全必备)" 指向的是一个专用于U盘数据安全保护的软件,这种工具能够确保存储在U盘的敏感信息不被未经授权的人员访问。U盘加密工具通过创建一个安全的加密容器,将数据隐藏在加密的外壳下,...
springBoot连OB数据库
最新发布
cbd451304045的专栏
10-21 1994
###oceanbase 测试。
原生PHP缓存Html 待PHP执行完成后获取Html内容 PHP内置缓存ob_xxx函数实现页面静态化 获取PHP文件输出的内容
FuJinlong94的博客
11-25 5295
前言 目前项目访问量较高,数据量比较大,更新不频繁 突然想到使用Redis+HTML直接返回HTML静态页,如果使用Redis存储Html字符串会出现RedisbigKey的问题。 所以使用Redis String过期key-value + Html文件策略,使一个HTML文件对应的Key存活5分钟,五分钟后出现访问重新生成新的Html静态页。 遇到问题,执行完成的PHP代码无法获取,截获路由使用file_get_content(url)重新请求路由会出现连续请求两次的情况,如果大量的key过期会
ntifs.h
zzz3265的专栏
05-28 1万+
// ntifs.h// http://www.acc.umu.se/~bosse/ntifs.html/*This is a free version of the file ntifs.h, release 56.The purpose of this include file is to build file system andfile system filter drivers for
WEB前端常用
OB杨的博客
04-11 3814
css省略号white-space: nowrap;text-overflow: ellipsis; overflow: hidden; word-break: break-all;
incremental_updates.20220401.tar.gz--更新说明
技术、思维
04-03 4180
12345678901234567890123456789012345678901234567890123456789012345678901234567890 Incremental Updates for GAMIT/GLOBK 10.71 This file lists updates available immediately in the incremental_updates/ directory. These are combined i
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1492
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1405
1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
oceanbase ODC和Obclient连接mysql类型的ob
qyq88888的专栏
11-03 5940
本次测试,在测试环境安装了一套单机版的oceanbase mysql版,下面对数据库进行连接。 1、通过ODC连接 (1)、下载并安装odc开发者心 参考:下载客户端版 ODC - 云数据库 OceanBase - 阿里云https://help.aliyun.com/document_detail/212816.html (2)、打开ODC开发者心 (3)、点击新建连接 (4)、准备数据库的连接信息: IP:10.xx.xx.153 端口:2881 租户:mysql01 数.
lgob创建菜单栏_工具栏和状态栏
weixin_33802505的博客
11-13 92
    前面已经介绍了如何使用button,label,entry,这一章介绍lgob创建菜单栏_工具栏和状态栏. 如果你学过java会觉得gtk创建菜单栏很怪,如果没有,那恭喜你了.下面是创建菜单栏的过程 一 与菜单相关的部件有MenuBar, Menu,MenuItem. MenuBar和Menu都是MenuItem的容器但MenuBar不是Menu 的容器,Menu可以是MenuIte...
x123.fun/gl.php,Linux-kernel mailing list archive 2002-39,: [PATCH] 2.5.40: lkcd (9/9): dump driver ...
weixin_30419031的博客
03-10 10万+
[PATCH] 2.5.40: lkcd (9/9): dump driver and build files (GZIP'D)Matt D. Robinson (yakker@aparity.com)Fri, 4 Oct 2002 16:33:52 -0700 (PDT)This message is in MIME format. The first part should be reada...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值