windows系统的对象管理

windows中的对象和高级编程语言中所说的对象还欧区别，准确来讲，windows中的对象其实指的是一种数据结构并且是一种带着“对象头（object head）” 的数据结构！

 所以windows中的对象可以基本分为三个部分：对象头、基本对象结构、可选部分！

 对象数据结构 可以如图所示  

objectheader结构定义

 lkd> dt _object_header
 nt!_OBJECT_HEADER
 +0x000 PointerCount : Int4B
 +0x004 HandleCount : Int4B
 +0x004 NextToFree : Ptr32 Void
 +0x008 Lock : _EX_PUSH_LOCK
 +0x00c TypeIndex : UChar
 +0x00d TraceFlags : UChar
 +0x00e InfoMask : UChar
 +0x00f Flags : UChar
 +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
 +0x010 QuotaBlockCharged : Ptr32 Void
 +0x014 SecurityDescriptor : Ptr32 Void
 +0x018 Body : _QUAD

                                          

而创建对象后就会返回句柄，相关进程可以通过句柄来使用此对象，所以对象可以有名和可以无名。

但是大部分情况，对象还是需要名字的，有名对象的组织就成了一个问题！

在windows中通过OBJECT_DIRECTORY目录对项来管理！

我们看下OBJECT_DIRECTORY结构：

 lkd> dt _object_directory
 nt!_OBJECT_DIRECTORY
 +0x000 HashBuckets : [] Ptr32 _OBJECT_DIRECTORY_ENTRY
 +0x094 Lock : _EX_PUSH_LOCK
 +0x098 DeviceMap : Ptr32 _DEVICE_MAP
 +0x09c SessionId : Uint4B
 +0x0a0 NamespaceEntry : Ptr32 Void
 +0x0a4 Flags : Uint4B

对象目录是由多个节点连接而成的树状结构（不考虑符号连接），树的根是一个目录对象，且树中的每个节点都是对象。除根节点之外，所有的中间节点都必须是目录对象或者符号链接对象（OBJECT_SYMBOLIC_LINK对象），普通的对象只能成为叶节点

看OBJECT_DIRECTORY结构中的第一个元素，是一个OBJECT_DIRECTORY_ENTRY结构指针数组，灭个指针用来维系一个目录项结构的队列，注意，除根节点外，每一个对象都需要借助于目录项结构才能插入目录！

 lkd> dt nt!_object_directory_entry
 +0x000 ChainLink : Ptr32 _OBJECT_DIRECTORY_ENTRY
 +0x004 Object : Ptr32 Void
 +0x008 HashValue : Uint4B

第一个元素仍然指向一个object_directory_entry结构，Object是其连接的对象。

                

由上图可以看到目录项可以和具体的普通对象结合插入对象目录，也可以和目录节点对象结合又形成一个目录。

分析下上面的图：

根节点是一个目录对象，主体是一个HASH表，这里只表现了其中的两个队列，每一个队列上的目录项（对象）具有相同的HASH值，结合具体的文件便可以轻松理解！