Windows对象(Object)结构--关于Win7的补充

最新推荐文章于 2024-01-16 17:59:18 发布
原创 最新推荐文章于 2024-01-16 17:59:18 发布 · 2.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #windows #header #c #string #file

本文详细探讨了从Windows XP到Windows 7中_OBJECT_HEADER结构的变化,重点关注Win7的更新,包括与XP的对比和差异。

Windows对象(Object)结构--关于Win7的补充


自Window 7开始,_OBJECT_HEADER及其之前的一些结构发生了变化。首先来对比下Win7与XP的_OBJECT_HEADER:


[Windows 7]
0: kd> dt _object_header
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Lock             : _EX_PUSH_LOCK
   +0x00c TypeIndex        : UChar
   +0x00d TraceFlags       : UChar
   +0x00e InfoMask         : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD

 

[Windows XP sp3]
kd> dt _object_header
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Type             : Ptr32 _OBJECT_TYPE
   +0x00c NameInfoOffset   : UChar
   +0x00d HandleInfoOffset : UChar
   +0x00e QuotaInfoOffset  : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD

 

可以看到,+0x008处的指向_OBJECT_TYPE的指针已经没有了,取而代之的是在+0x00c处的类型索引值。
“Vista及其以下版本都是在_object_header结构中保存object_type指针,在Windows7中Object_header只保存Object_type的索引。但Windows7中添加了一个函数,ObGetObjectType,返回Object_type对象指针,所以操作Object_type不需要硬编码了。

NTKERNELAPI
PVOID
NTAPI
ObGetObjectType(
      IN PVOID pObject
      );
”(见看雪论坛langouster对某贴的 回复

来看看这个函数:
0: kd> u ObGetObjectType
nt!ObGetObjectType:
83e4f3f6 8bff            mov     edi,edi
83e4f3f8 55              push    ebp
83e4f3f9 8bec            mov     ebp,esp
83e4f3fb 8b4508          mov     eax,dword ptr [ebp+8]
83e4f3fe 0fb640f4        movzx   eax,byte ptr [eax-0Ch]
83e4f402 8b0485c0b8d483  mov     eax,dword ptr nt!ObTypeIndexTable (83d4b8c0)[eax*4]
83e4f409 5d              pop     ebp
83e4f40a c20400          ret     4

实际上就是一个全局数组nt!ObTypeIndexTable保存了所有的对象类型的指针。

另一个重要的变化:
Win7的_OBJECT_HEADER不再有NameInfoOffset、HandleInfoOffset和QuotaInfoOffset来指示从_POOL_HEADER到_OBJECT_HEADER这一段神秘的可变长空间。占据这三个偏移位置的三个成员分别为:TypeIndex、TraceFlags和InfoMask。TypeIndex上文已经说明,TraceFlags目前作用未知,以后搞明白了再补充吧。下面研究InfoMask的作用。为了方便起见,选取了Win7的explorer的进程对象和文件对象作为参考。
0: kd> dt _eprocess 860fed10  
nt!_EPROCESS
   ...
   +0x16c ImageFileName    : [15]  "explorer.exe"
   ...
0: kd> dt _file_object 86952ec8
nt!_FILE_OBJECT
   ...
   +0x030 FileName         : _UNICODE_STRING "Windowsexplorer.exe"
   ...

通过观察内存,找到了他们的_POOL_HEADER( _POOL_HEADER/ _OBJECT_HEADER
0: kd> dd 860fed10-30
860fece0   045e000a e36f7250 00001000 000002f0
860fecf0  00000078 86b2d200 00000195 00000006
860fed00   00000000 00080007 86b2d200 89588b65
860fed10  00260003 00000000 860fed18 860fed18
860fed20  860fed20 860fed20 1ecf9360 00000000
860fed30  00000000 00000000 00000000 86d91210
860fed40  85aa6340 00000000 00010001 00000000
860fed50  00000003 860fed54 860fed54 00000000
0: kd> dd 86952ec8-38
86952e90   0417001f e56c6946 00000400 000000f8
86952ea0  00000000 00000000 92f6f8a0 00000001
86952eb0   00000007 00000000 00000000 000c001c
86952ec0   00000001 00000000 00800005 86186030
86952ed0  86186c50 92f909f8 92f6d490 86953fa8
86952ee0  00000000 00000000 00000000 00010000
86952ef0  01000100 00044042 0038002a 92f76b48
86952f00  00000000 00000000 00000000 00000000

可变长区域内的结构都以_OBJECT_HEADER_开头,所以我们可以先看看Win7下使用了哪些结构:
0: kd> dt nt!_object_header*
          ntkrpamp!_OBJECT_HEADER
          ntkrpamp!_OBJECT_HEADER_QUOTA_INFO
          ntkrpamp!_OBJECT_HEADER_PROCESS_INFO
          ntkrpamp!_OBJECT_HEADER_HANDLE_INFO
          ntkrpamp!_OBJECT_HEADER_NAME_INFO
          ntkrpamp!_OBJECT_HEADER_CREATOR_INFO

0: kd> dt _OBJECT_HEADER_QUOTA_INFO
nt!_OBJECT_HEADER_QUOTA_INFO
   +0x000 PagedPoolCharge  : Uint4B
   +0x004 NonPagedPoolCharge : Uint4B
   +0x008 SecurityDescriptorCharge : Uint4B
   +0x00c SecurityDescriptorQuotaBlock : Ptr32 Void

0: kd> dt _OBJECT_HEADER_PROCESS_INFO
nt!_OBJECT_HEADER_PROCESS_INFO
   +0x000 ExclusiveProcess : Ptr32 _EPROCESS
   +0x004 Reserved         : Uint4B

0: kd> dt _OBJECT_HEADER_HANDLE_INFO -b
nt!_OBJECT_HEADER_HANDLE_INFO
   +0x000 HandleCountDataBase : Ptr32 
   +0x000 SingleEntry      : _OBJECT_HANDLE_COUNT_ENTRY
      +0x000 Process          : Ptr32 
      +0x004 HandleCount      : Pos 0, 24 Bits
      +0x004 LockCount        : Pos 24, 8 Bits

0: kd> dt _OBJECT_HEADER_NAME_INFO
nt!_OBJECT_HEADER_NAME_INFO
   +0x000 Directory        : Ptr32 _OBJECT_DIRECTORY
   +0x004 Name             : _UNICODE_STRING
   +0x00c ReferenceCount   : Int4B

0: kd> dt _OBJECT_HEADER_CREATOR_INFO
nt!_OBJECT_HEADER_CREATOR_INFO
   +0x000 TypeList         : _LIST_ENTRY
   +0x008 CreatorUniqueProcess : Ptr32 Void
   +0x00c CreatorBackTraceIndex : Uint2B
   +0x00e Reserved         : Uint2B

观察对比后的,感觉应该是这样的:

0: kd> dd 860fed10-30
860fece0   045e000a e36f7250  00001000 000002f0
860fecf0   00000078 86b2d200  00000195 00000006
860fed00   00000000 00080007 86b2d200 89588b65
860fed10  00260003 00000000 860fed18 860fed18
860fed20  860fed20 860fed20 1ecf9360 00000000
860fed30  00000000 00000000 00000000 86d91210
860fed40  85aa6340 00000000 00010001 00000000
860fed50  00000003 860fed54 860fed54 00000000
0: kd> dd 86952ec8-38
86952e90   0417001f e56c6946  00000400 000000f8
86952ea0   00000000 00000000 92f6f8a0 00000001
86952eb0   00000007 00000000 00000000 000c001c
86952ec0   00000001 00000000 00800005 86186030
86952ed0  86186c50 92f909f8 92f6d490 86953fa8
86952ee0  00000000 00000000 00000000 00010000
86952ef0  01000100 00044042 0038002a 92f76b48
86952f00  00000000 00000000 00000000 00000000

 

结构算是都硬套上了。现在来猜测一下InfoMask与这些结构的对应关系。
860fed10(_EPROCESS)的InfoMask为:0x8 = 1000b
86952ec8(_FILE_OBJECT)的InfoMask为:0xc = 1100b
那么我们可以:
#define OB_INFOMASK_QUOTA    0x8
#define OB_INFOMASK_HANDLE   0x4

同样方法,分析其他类型的内核对象得到:
#define OB_INFOMASK_NAME      0x2
#define OB_INFOMASK_PROCESS 0x1

_OBJECT_HEADER_CREATOR_INFO结构仍然由+0x00f Flags指示,故没有对应掩码。

 

0902horn
关注
xp与win7中_OBJECT_HEADER的区别,_OBJECT_TYPE获取方法
点点灵犀
04-26 2879
win7中 _OBJECT_HEADER变化比较大。不能直接取出_OBJECT_TYPE对象,而是使用对象在ObTypeIndexTable中的索引来引用_OBJECT_TYPE。 下面使用windbg来掩饰xp和win7获取_OBJECT_TYPE的方法。 xp系统获取方法 使用!object查看一个文件对象信息 lkd> !object 8914b2c0 Object: 8914
windows-运维-05 初识PowerShell
weixin_42560249的博客
03-26 1373
windows-运维-05 初识PowerShell 什么是PowerShell Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。你可以把它看成是命令行提示符cmd.exe的扩充,不对,应当是颠覆。 powershell需要.NET环境的支持,同时支持.NET对象。微软之所以将Powershell 定位为Power,并不是夸大其词,因为它完全支持对象...
Windows对象(Object)结构
07-15 1281
from 5eCur!ty LabsWindows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的"对象"在系统的对象管理器(Object Manager)看来只是完整对象的一个部分----对象实体(Object Body)。Windows XP中有31种不同类型的对象Object B
Windows对象 (Object) 的组织
08-23 1467
在《Windows对象(Object)结构》一文中简单的描述了Object结构,其中一些结构的细节地方尚未提及。这篇文章中,主要讨论对象管理器(Object Manager)如何组织系统中的各种对象。与文件系统管理文件的方法类似,Windows对象管理器将系统中的对象按照树状结构进行存储。可以使用www.sysinternals.com的winobj来观察系统中的对象。既然系统以树状结构
Windows对象 (Object) 结构
visualliu的专栏
04-24 928
 新一篇: 有关__int64类型的打印问题function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http
WINDOWS OBJECT笔记
whowho的专栏
04-07 1265
dd obpRootDirectoryObject kd> dd obpRootDirectoryObject 80561978 e10001c0 00000000 00000001 00000000 80561988 00000000 00040001 00000000 80561994 80561998 80561994 00000000 867eb478 00000000 8056
windows驱动开发技术详解-part2
07-06
 本章首先对Windows驱动程序的两个重要数据结构进行介绍,分别是驱动对象和设备对象数据结构。另 外还要介绍NT驱动程序和WDM驱动程序的入口函数、卸载例程、各种IRP派遣上函数等。  4.1 Windows驱动程序中重要的...
EhLib 7.0.133 Delphi全源码发布(支持D7-XE7
值得注意的是,官方特别说明已在 Windows 7 操作系统 + Delphi 7 环境下测试通过,表明该版本在较老的操作系统与经典开发平台组合中依然具备良好的稳定性与兼容性,这对仍需维护 legacy 系统的企业用户尤为重要。...
Windows驱动开发技术详解的光盘-part1
07-06
 本章首先对Windows驱动程序的两个重要数据结构进行介绍,分别是驱动对象和设备对象数据结构。另外还要介绍NT驱动程序和WDM驱动程序的入口函数、卸载例程、各种IRP派遣上函数等。  4.1 Windows驱动程序中重要的...
WINDOWS编译object c 的工具库
11-04
WINDOWS编译object c 的工具库
windowsobject-c环境搭建进阶
04-07
NULL 博文链接:https://hjy2099.iteye.com/blog/1562336
Windows平台OSS客户端安装包下载
“oss-browser-win32-x64.zip”是一个专为Windows操作系统设计的阿里云对象存储服务(OSS,Object Storage Service)客户端工具的安装包,其核心功能是为用户提供一个图形化、直观且高效的桌面应用程序,用于管理和...
Window编程】内核对象
依然那霖哥
10-12 758
内核对象     比如存取符号对象、事件对象、文件对象、文件映射对象、     I / O完成端口对象、作业对象、信箱对象、互斥对象、管道对象、进程对象、信标对象、线程     对象和等待计时器对象等 1. 每个内核对象只是内核分配的一个内存块,并且只能    由该内核访问。该内存块是一种数据结构,它的成员负责维护该对象的各种信息 2. 句柄指向 内核对象 ,为了使操作
win 7 object header
panjunson的博客
08-09 348
Windows 7 Object Headers This document describes the changes to the object header structure that have been made in Windows 7 and the areas of functionality these changes affect. It starts with a brie...
探索Windows内核系列——Object结构
最新发布
sunjiaoya的博客
01-16 1383
探索Windows内核系列——Object结构
win7下的Object Header结构
行者无疆的专栏
03-13 1941
参考了一下第四版的windows internals书,看到上面写的object header结构有些不同,查了些资料,发现的确,微软作了修改,以下是在win7下得到的结构。 lkd> dt nt!_object_header    +0x000 PointerCount     : Int4B    +0x004 HandleCount      : Int4B    +0x004 Ne
MFC ObjectWindows Object的关系
囧小平-云栖隐者
10-16 638
<br />本文来自编程入门网:http://www.bianceng.cn/Programming/vc/201003/16099.htm<br /> <br /> <br />MFC中最重要的封装是对Win32 API的封装,因此,理解Windows Object和MFC Object (C++对象,一个C++类的实例)之间的关系是理解MFC的关键之一。所谓Windows ObjectWindows对象)是Win32下用句柄表示的Windows操作系统对象;所谓MFC Object (MFC对象)是C
qtp对象识别成winobject
sky_tree_7089的博客
08-07 1513
QTP对象识别 QTP SPY无法识别此对象,会把所有web对象都识别为winobject。 方法: 1. 把IE和QTP都关掉,然后先打开QTP,再打开IE,这样就能识别了。 2. 如果这样不行的话: XP下:  查看IE加载项,查看BHOManager Class是否已经被加载,而且状态为Enable.没有做修改,保持现状。(若没有BHOManager Class 加载项,则在QTP
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值