Windows内核对象头部结构

最新推荐文章于 2024-01-16 17:59:18 发布
最新推荐文章于 2024-01-16 17:59:18 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动开发 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yeshahayes/article/details/78028425
本文探讨了Windows内核对象的组成,特别是OBJECT_HEADER结构及其后续48字节的对象体。通过逆向分析ObCreateObject函数,揭示了OBJECT_HEADER中的OBJECT_HEADER_QUOTA_INFO、OBJECT_HEADER_HANDLE_INFO、OBJECT_HEADER_NAME_INFO和OBJECT_HEADER_CREATOR_INFO结构如何根据特定条件被创建。分析了这些结构对Init和Idle进程、句柄信息、名字记录以及类型信息的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Windows中,内核对象由三部分组成,其中第一部分是由数个不确定的结构组成,第二部分就是结构头OBJECT_HEADER,第三部分则是对象体。后两部分容易确定,OBJECT_HEADER后48个字节就是对象体。第一部分则是完全隐藏起来的机制,而且Win7系统中OBJECT_HEADER里也没有了前面几个结构的偏移信息,所以需要具体研究一下这个字段的生成机制。
这个结构肯定是在ObCreateObject中创建的,其中的ObpAllocateObject完成了对象的内存分配和初始化,就从这个函数着手进行分析。
下面是对ObpAllocateObject的逆向,可能有些地方和源程序流程不一样,中间许多流程进行了优化,只能尽量去还原成正确的C代码。


NTSTATUS ObpAllocateObject(POBJECT_CREATE_INFO CreateInfo,
    KPROCESSOR_ACCESS OwnerMode,
    POBJECT_TYPE ObjectType,
    PUNICODE_STRING CapturedName,
    DWORD ObjectBodySize,
    POBJECT_HEADER* ObjectHeader) {

    DWORD InfoMask = 0;
    DWORD ObjectTotalSize = 0;
    NTSTATUS Status;
    PBYTE Object;
    PBYTE ObjectFields;
    POBJECT_HEADER_CREATOR_INFO CreatorInfo;
    POBJECT_HEADER_HANDLE_INFO HandleInfo;
    POBJECT_HEADER_QUOTA_INFO QuotaInfo;
    POBJECT_HEADER_NAME_INFO NameInfo;
    PEPROCESS CurrentProcess = PsGetCurrentProcess();

    //前面不知道是干嘛的
    if (CreateInfo->Attributes & 0x20) {
        ObjectTotalSize += 0x10;
        InfoMask |= 0x10;
    }

    //需要性能技术
    if (CurrentProcess != PsInitialSystemProcess) {
        if (CurrentProcess != PsIdleProcess)
            if (PsInitialSystemProcess != NULL) {
                InfoMask |= 8;
                ObjectTotalSize += sizeof(OBJECT_HEADER_QUOTA_INFO);
            }
    }

    //需要记录句柄计数信息
    if (ObjectType-></
最低0.47元/天 解锁文章

200万优质内容无限畅学
JAVA对象布局--对象头(Object Header)
srs1995的博客
03-01 555
由于Java面向对象的思想,在JVM中需要大量存储对象,存储时为了实现一些额外的功能,需要在对象中添加一些标记字段用于增强对象功能 。在学习并发编程知识synchronized时,我们总是难以理解其实现原理,因为偏向锁、轻量级锁、重量级锁都涉及到对象头,所以了解java对象头是我们深入了解synchronized的前提条件,以下我们使用64位JDK示例 1.对象布局的总体结构 2.获取一个对象布局实例 1.首先在maven项目中 引入查看对象布局的神器 <dependency&gt.
win7下的Object Header结构
行者无疆的专栏
03-13 1918
参考了一下第四版的windows internals书,看到上面写的object header结构有些不同,查了些资料,发现的确,微软作了修改,以下是在win7下得到的结构。 lkd> dt nt!_object_header    +0x000 PointerCount     : Int4B    +0x004 HandleCount      : Int4B    +0x004 Ne
JAVA对象布局之对象头(Object Header)
srs1995的博客
10-29 4921
由于Java面向对象的思想,在JVM中需要大量存储对象,存储时为了实现一些额外的功能,需要在对象中添加一些标记字段用于增强对象功能 。在学习并发编程知识synchronized时,我们总是难以理解其实现原理,因为偏向锁、轻量级锁、重量级锁都涉及到对象头,所以了解java对象头是我们深入了解synchronized的前提条件,以下我们使用64位JDK示例 1.对象布局的总体结构 2.获取一个对象布局实例 1.首先在maven项目中 引入查看对象布局的神器 <dependency&gt.
win 7 object header
panjunson的博客
08-09 336
Windows 7 Object Headers This document describes the changes to the object header structure that have been made in Windows 7 and the areas of functionality these changes affect. It starts with a brie...
Windows 7 Object Headers
求索
06-15 646
This document describes the changes to the object header structure that have been made in Windows 7 and the areas of functionality these changes affect. It starts with a brief description of the layou
了解Windows内核对象和数据结构
Windows内核对象是操作系统内核中用于管理系统资源的数据结构,它可以代表诸如文件、进程、线程、事件等系统资源。内核对象提供了一种统一的方式来对系统资源进行管理和访问。 ### 1.2 Windows内核对象的分类 根据...
Windows 内核 Directory对象 结构体
07-24
Windows内核中,Directory(目录)对象的结构体是_OBJECT_DIRECTORY结构体。该结体定义在Windows的头文件...目录对象用于组织和管理内核对象的命名空间,提供了一种层次化的结构,方便对内核对象进行查找和访问。
windows kernel源码分析】对初学者友好的底层理解,让你对计算机内核不再迷茫
20岁爱吃必胜客
10-11 1388
对市面上的文章再做一次整合。给渴望得到内核知识的人提供一些帮助。🍃博主昵称:一拳必胜客‘’
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5486
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Win7 Object_Header之TypeIndex解析,ObGetObjectType使用
求索
03-01 2524
在暴力搜索内存进程对象反隐藏进程这篇文章中,我们提到: Object Header偏移0×008处Type成员为对象类型值,相同类型的对象具有相同的值.  自Window  7开始, _OBJECT_HEADER及其之前的一些结构发生了变化.  lkd> dt _object_header nt!_OBJECT_HEADER +0×000 PointerCount      : I
对象头(Object Header)
weixin_47414034的博客
11-04 476
后四个字节Klass Word表示这个对象属于哪个类(比如Student类,或者Person类)如果是数组对象,则对象头有96位,还有32位用来表示数组长度。总共八个字节,64位。
JVM —— Object Header(对象头
热门推荐
wenniuwuren
03-20 1万+
HotSpot 虚拟机的对象头包括两部分信息:Mark Word(标记字段)和 Klass Pointer(类型指针)...
对象头信息Object Header
whathellll的博客
08-21 4133
备注:配合java中的锁,以及jvm创建对象的具体过程,tlab等知识联系观看 tlab:https://blog.youkuaiyun.com/xiaomingdetianxia/article/details/77688945 锁:https://blog.youkuaiyun.com/zqz_zqz/article/details/70233767 HotSpot 虚拟机的对象头包括两部分信息:Mark Wo...
win8 object_header信息
生活的乐趣在于折腾
09-19 706
原始链接:http://www.itnests.com/win8-64bit-_kthread-_ethread.html dt _KTHREAD +0x000 Header           : _DISPATCHER_HEADER +0x018 SListFaultAddress : Ptr64 Void +0x020 QuantumTarget    : Uint8B
Windows对象 (Object) 结构
sqqsongqiqi的专栏
01-09 2418
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager
探索Windows内核系列——Object的结构
最新发布
sunjiaoya的博客
01-16 1223
探索Windows内核系列——Object的结构
Windows对象(Object)结构
quasiceo
11-10 777
Windows对象(Object)结构     Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的"对象"在系统的对象管理器(Object Manager)看来只是完整对象的一个部分----对象实体(Object Body)。Windows XP中有31种不同类型的
Win7 _Object_header 中的 TypeIndex
weixin_30363817的博客
07-23 151
Win7 比较 xp下ObjectHeader中的内容有所变化,xp直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTable。可以这么定义为: POBJECT_TYPE ObTypeIndexTable[0x100]; Win7的对象头中不再保存ObjectType指针,而是保存了TypeInd...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值