四。目录对象结构(ObpLookupDirectoryEntry、ObpLookupObjectName) (一)

最新推荐文章于 2024-11-14 13:49:39 发布
最新推荐文章于 2024-11-14 13:49:39 发布
阅读量1.9k 收藏 1
点赞数
文章标签: object struct 数据结构 attributes header buffer
四。目录对象结构(ObpLookupDirectoryEntry、ObpLookupObjectName) (一)
2010年05月11日 星期二 14:31
第一篇在分析ObCreateObjectType函数中出现了ObpLookupDirectoryEntry。
这个函数的作用是查询指定的目录对象中是否包含某对象。

目录对象的数据结构是OBJECT_DIRECTORY
 typedef struct _OBJECT_DIRECTORY {
    struct _OBJECT_DIRECTORY_ENTRY *HashBuckets[ NUMBER_HASH_BUCKETS ];
    EX_PUSH_LOCK Lock;
    struct _DEVICE_MAP *DeviceMap;
    ULONG SessionId;
} OBJECT_DIRECTORY, *POBJECT_DIRECTORY;

HashBuckets是一个根据哈希数组
哈希值是根据对象的名字计算出来的

 typedef struct _OBJECT_DIRECTORY_ENTRY {
    struct _OBJECT_DIRECTORY_ENTRY *ChainLink;
    PVOID Object;
    ULONG HashValue;
} OBJECT_DIRECTORY_ENTRY, *POBJECT_DIRECTORY_ENTRY;

_OBJECT_DIRECTORY_ENTRY.ChainLink 把有相同哈希值的对象串联在一起


+-----------------------+
|    OBJECT_DIRECTORY   |
|        HashBuckets[37]+--+ (37个指针, 分别指向37个_OBJECT_DIRECTORY_ENTRY结构)
|                  Lock | | (HashValue相同的_OBJECT_DIRECTORY_ENTRY结构使用ChainLink串联起来)
+-----------------------+ | (这里只画出了一个指针)
+--------------------------+
V
+-----------------------+ +->+-----------------------+
|_OBJECT_DIRECTORY_ENTRY| | |_OBJECT_DIRECTORY_ENTRY|
|              ChainLink+--+ |              ChainLink+->.....
|                 Object|     |                 Object|
|              HashValue|     |              HashValue|
+-----------------------+     +-----------------------+

下面开始分析ObpLookupDirectoryEntry函数
 PVOID
ObpLookupDirectoryEntry (
    IN POBJECT_DIRECTORY Directory,            //目录对象
    IN PUNICODE_STRING Name,                   //搜索的名字
    IN ULONG Attributes,                       //指定是否区分大小写
    IN BOOLEAN SearchShadow,                   //是否搜索shadow directory
    OUT POBP_LOOKUP_CONTEXT LookupContext      //查询详细信息通过这个结构返回
    ) {
    ......
    // 一些参数检测
    ......
   
    // 根据名字计算一个哈希值, WcharLength是名字长度, Buffer指向Name->Buffer
    HashIndex = 0;
    while (WcharLength--) {
        Wchar = *Buffer++;
        HashIndex += (HashIndex << 1) + (HashIndex >> 1);
        if (Wchar < 'a') {
            HashIndex += Wchar;
        } else if (Wchar > 'z') {
            HashIndex += RtlUpcaseUnicodeChar( ( WCHAR )Wchar );
        } else {
            HashIndex += (Wchar - ('a'-'A'));
        }
    }
    HashValue = HashIndex;
    HashIndex %= NUMBER_HASH_BUCKETS;
    LookupContext->HashIndex = ( USHORT )HashIndex;
    LookupContext->HashValue = HashValue;
   
    while (1) {
        // 获取对应的哈希表项
        HeadDirectoryEntry = (POBJECT_DIRECTORY_ENTRY *)&Directory->HashBuckets[ HashIndex ];
        LookupBucket = HeadDirectoryEntry;

        // 这个函数给目录上共享锁, _OBJECT_DIRECTORY.Lock 是共享锁数据结构
        if (!LookupContext->DirectoryLocked) {
            ObpLockDirectoryShared( Directory, LookupContext);
        }

 // 遍历 _OBJECT_DIRECTORY_ENTRY.ChainLink 链表
        while ((DirectoryEntry = *HeadDirectoryEntry) != NULL ) {

            if (DirectoryEntry->HashValue == HashValue) {
                // 比较对象名称
                ObjectHeader = OBJECT_TO_OBJECT_HEADER( DirectoryEntry->Object );
                NameInfo = OBJECT_HEADER_TO_NAME_INFO_EXISTS( ObjectHeader );
                if (RtlEqualUnicodeString( Name,
                                           &NameInfo->Name,
                                           CaseInSensitive )) {
                    break ;
                }
            }

            HeadDirectoryEntry = &DirectoryEntry->ChainLink;
        }

        if (DirectoryEntry) {
            // 找到了对象所在的DirectoryEntry, 返回对应的OBJECT
            if (HeadDirectoryEntry != LookupBucket) {
                if ( LookupContext->DirectoryLocked
                        ||
                     ExTryConvertPushLockSharedToExclusive(&Directory->Lock)) {

                    *HeadDirectoryEntry = DirectoryEntry->ChainLink;
                    DirectoryEntry->ChainLink = *LookupBucket;
                    *LookupBucket = DirectoryEntry;
                }
            }
            Object = DirectoryEntry->Object;
            goto UPDATECONTEXT;
        } else {
            // 没有找到对象的DirectoryEntry
            if (!LookupContext->DirectoryLocked) {
                ObpUnlockDirectory( Directory, LookupContext );
            }
            if (SearchShadow && Directory->DeviceMap != NULL ) {
                POBJECT_DIRECTORY NewDirectory;

                NewDirectory = ObpGetShadowDirectory (Directory);
                if (NewDirectory != NULL ) {
                    Directory = NewDirectory;
                    continue ;
                }
            }
            goto UPDATECONTEXT;
        }
    }
UPDATECONTEXT:
    .....
    return Object;
}

看过了查找指定目录下是否有指定名称的对象的函数后
再来看看一个功能更强大的函数ObpLookupObjectName
它可以根据路径来查找对象, 路径里还可以包含符号链接等。。。总之很复杂很强大。。。
wzsy
关注
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
4.1 对象对象目录 136 4.2 对象类型 148 4.3 句柄和句柄表 162 4.4 对象的创建 169 4.5 几个常用的内核函数 179 4.5.1 ObReferenceObjectByHandle() 179 4.5.2 ObReferenceObjectByPointer() 187 4.5.3 ...
对象管理---1
For Geek
05-23 1072
对象管理 对象,即Object。广义的说,对象就是“目标”,行为的受体,所以,任何客观的事物从广义上讲都可以成为对象。在计算机领域,对象是个专有名词。其定义是:一个(一组)数据结构,以及定义在其上的操作,也就是数据结构 +操作,这个跟我们程序设计的思想是一致的,所谓“基于对象的程序设计”和“面向对象的程序设计”的概念都是基于此的。Windows把文件和设备都看做特殊对象。 同样,我们将空间分成用户...
目录对象结构(ObpLookupDirectoryEntryObpLookupObjectName) (二)
求索
02-16 4694
目录对象结构(ObpLookupDirectoryEntryObpLookupObjectName) (二)
Windowsx64内核对象管理分析
u013677637的博客
08-21 647
x64windows内核分析 内核对象管理
[Windows内核源码分析1] 引导过程(对象管理器初始化在Phase0部分的分析)
輚至消亡
10-05 619
本文章记录分析对象管理器在windows系统引导的阶段0中的初始化工作。沿着该目录下的链表进行遍历,如果找到了HASH值相等的对象,则获取其HASH值对应对象的头部, 并获取其中的。利用该HASH值找到对应的全局名字空间中特定的对象目录,并获取其结点的指针, 接着锁住该目录。的创建过程, 其主要调用了ExCreateHandleTable函数。其将新的对象插入到对应的目录下的链表中,这样就完成了插入目录的操作。实际上都是初始化system进程的EPROCESS结构体中的对象。接下来仔细查看一下这个。
Windows对象 (Object) 的组织
08-23 1388
在《Windows对象(Object)结构》一文中简单的描述了Object结构,其中一些结构的细节地方尚未提及。这篇文章中,主要讨论对象管理器(Object Manager)如何组织系统中的各种对象。与文件系统管理文件的方法类似,Windows对象管理器将系统中的对象按照树状结构进行存储。可以使用www.sysinternals.com的winobj来观察系统中的对象。既然系统以树状结构
复习:windows对象管理(1)内核对象组织结构
Returns' Station
07-25 1808
好久没来了!最近在整理以前的一些笔记,也希望把以前学过但没记下来的东西补全,于是这是新一轮复习的第一篇。 一、一些概念 xp下内核对象的布局结构如下(由低到高): object quota info object handle info object name info object creater info OBJECT_HEADER object 对象在内核中以哈希树
[Windows内核源码分析5] 引导过程(对象管理器初始化在Phase1部分的分析)
輚至消亡
10-11 732
其内部执行的操作很简单,一个是创建一个目录对象, 接着将该目录对象插入到全局名字空间中。**目录对象并创建了3个指向它的符号链接。如果存在但是并非是我们需要定位的对象类型,就不能重复插入,确认具体的原因后返回。如果定位到了该对象, 并且是我们需要插入的对象类型,首先需要做一些安全方面的工作。所以其内部创建了对应类型的对象后,返回指代该对象的句柄。成功创建了该对象后, 为其制定DACL并再其中加入了ACE规则。来通过句柄引用了这个对象, 获取指向该对象的指针。为该对象在进程中创建句柄表项,并获取该句柄。
【Windows内核原理与实现】读书笔记(三)
pwpal的专栏
12-10 370
Windows内核中对象管理 Windows对象管理器的基本设计意图是: 为执行体的数据结构提供一种统一又可扩展的定义和控制机制。 提供统一的安全访问机制。 在无需修改已有系统代码的情况下,加入新的对象类型。 提供一组标准的API来对对象执行各种操作。 提供一种命名机制,与文件系统的命名机制集成在一起。 每一个对象都由两部分构成:对象头和对象体,所有对象对象
请问下windows的影子目录是怎么回事?
陈刚编程心得与知识集
03-04 667
在逆向windows kernel的时候发现了一个函数ObpGetShadowDirectory,这个函数主要的总用是得到一个路径的object 根据reactos代码写的,这种目录为影子目录,react目前还不支持影子目录,请问有哪位大牛知道影子目录是怎么回事,最好有些详尽的资料看下!
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
Windows内核情景分析上-采用开源代码ReactOS(上册)高清完整.pdf版
04-22
用了一年时间认真的看了一遍,真是经典,Windows内核方面的入门书籍
遍历windows驱动遍历对象目录对象
03-05 2050
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
ObpLookupEntryDirectory(Windows内核学习笔记)
KOOKNUT的博客
04-08 320
/*++ * @name ObpLookupEntryDirectory * * The ObpLookupEntryDirectory routine <FILLMEIN>. * * @param Directory * <FILLMEIN>. * * @param Name * <FILLMEIN>. * * @param...
java-将DirectoryObject转换为用户
weixin_44109689的博客
12-23 178
给定一个特定目录角色成员的查询,我想返回一个相应用户的列表.我所拥有的是: IDirectoryObjectCollectionWithReferencesRequest request = graphServiceClient.directoryRoles(roleId).members().buildRequest(); IDirectoryObjectCollectionWi...
WINDOWS内核对象及其理解
linus_Robot的博客
01-10 7663
WINDOWS内核对象   一.前言   Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象。内核对象是系统地址空间中的一个内存块,由系统创建并维护,这个内存对象是一个数据结构,维护着与对象相关的信息(如计数器)。内核对象为内核所拥有,而不为进程所拥有,所以不同进程可以访问同一个内核对象。     二.内核对象结构   每个对象
第二十课_遍历windows对象目录
05-18 1782
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
数据结构】实验二 单链表的基本操作
最新发布
drt_0506的博客
11-14 411
1)根据输入的一系列整数,以0标志结束,用头插法建立单链表,并输出单链表中各元素值,观察输入的内容与输出的内容是否一致。4)在单链表中查找第i个元素,如果查找成功,则显示该元素的值,否则显示该元素不存在。2)在单链表的第i个元素之前插入一个值为x的元素,并输出插入后的单链表中各元素值。3)删除单链表中第i个元素,并输出删除后的单链表中各元素值。掌握链表基本操作的算法实现,以及对相应算法的性能分析。掌握线性表的链式存储结构的表示和实现方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值