windows内核对象管理学习笔记

目前正在阅读毛老师的《windows内核情景分析》一书对象管理章节，作此笔记。

Win内核中是使用对象概念来描述管理内核中使用到的数据结构。此对象(Object)均是由对象头(Object Header)组成，实际上由于对象头概念的特殊结构，还有些可选成分。于是一个对象实际上是分为三部分。

OBJECT_HEADER对象头.

数据本体(比如文件对象File Object、Event等)

附加信息(比如Object Header Name Info等)

结构如下:

//摘录自 Reactos代码
// Object Header
//
typedef struct _OBJECT_HEADER
{
LONG PointerCount;
union
{
LONG HandleCount;
volatile PVOID NextToFree;
};
POBJECT_TYPE Type;
UCHAR NameInfoOffset;
UCHAR HandleInfoOffset;
UCHAR QuotaInfoOffset;
UCHAR Flags;
union
{
POBJECT_CREATE_INFORMATION ObjectCreateInfo;
PVOID QuotaBlockCharged;
};
PSECURITY_DESCRIPTOR SecurityDescriptor;
QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;
使用windbg调试windows XP时候 得到结构如下。
lkd> dt _OBJECT_HEADER
nt!_OBJECT_HEADER
+0×000 PointerCount : Int4B
+0×004 HandleCount : Int4B
+0×004 NextToFree : Ptr32 Void
+0×008 Type : Ptr32 _OBJECT_TYPE
+0x00c NameInfoOffset : UChar
+0x00d HandleInfoOffset : UChar
+0x00e QuotaInfoOffset : UChar
+0x00f Flags : UChar
+0×010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
+0×010 QuotaBlockCharged : Ptr32 Void
+0×014 SecurityDescriptor : Ptr32 Void
+0×018 Body : _QUAD

看上去应该差不多，REACTOS对于对象头的描述基本与windows一致.其中Body便是对象本体，由于本体结构的多样性，长度是未确定的。所以《windows内核情景分析》中提到，”OBJECT_HEADER_NAME_INFO等放在OBJECT_HEADER下面，用8位字节表示位移量。” 结构如图:

在XP系统下使用WINDBG调试验证时候，略有一些不同的小发现. XP系统中开启windbg。开启菜单File->Kernel Dbug.选择Local本地调试。 使用!handle 可出windbg可获取的句柄列表,我们从句柄转移到对象头结构分析。

句柄很多，我们选择一个TYPE为FILE的句柄，方便下文分析。

000c: Object: 81c53b70 GrantedAccess: 00100020 (Inherit) Entry: e10d7018
Object: 81c53b70 Type: (81feb040) File
ObjectHeader: 81c53b58 (old version)
HandleCount: 1 PointerCount: 1
Directory Object: 00000000 Name: \Program Files\Debugging Tools for Windows (x86) {HarddiskVolume1}
ld> dt _OBJECT_HEADER 81c53b58
nt!_OBJECT_HEADER
+0×000 PointerCount : 1
+0×004 HandleCount : 1
+0×004 NextToFree : 0×00000001
+0×008 Type : 0x81feb040 _OBJECT_TYPE
+0x00c NameInfoOffset : 0 ”
+0x00d HandleInfoOffset : 0×8 ”
+0x00e QuotaInfoOffset : 0 ”
+0x00f Flags : 0×40 ‘@’
+0×010 ObjectCreateInfo : 0x81e900e8 _OBJECT_CREATE_INFORMATION
+0×010 QuotaBlockCharged : 0x81e900e8
+0×014 SecurityDescriptor : (null)
+0×018 Body : _QUAD

结构中得+0×018 Body : _QUAD就是对象主体，我们已知该对象时文件对象，于是在windbg中以文件对象FileObject解析该地址

lkd> dt _FILE_OBJECT 81c53b58+0×18
ntdll!_FILE_OBJECT
+0×000 Type : 5
+0×002 Size : 112
+0×004 DeviceObject : 0x81b2c900 _DEVICE_OBJECT
+0×008 Vpb : 0x81fe67c8 _VPB
+0x00c FsContext : 0xe1201510
+0×010 FsContext2 : 0xe12016a8
+0×014 SectionObjectPointer : (null)
+0×018 PrivateCacheMap : (null)
+0x01c FinalStatus : 0
+0×020 RelatedFileObject : (null)
+0×024 LockOperation : 0 ”
+0×025 DeletePending : 0 ”
+0×026 ReadAccess : 0×1 ”
+0×027 WriteAccess : 0 ”
+0×028 DeleteAccess : 0 ”
+0×029 SharedRead : 0×1 ”
+0x02a SharedWrite : 0×1 ”
+0x02b SharedDelete : 0 ”
+0x02c Flags : 0×40002
+0×030 FileName : _UNICODE_STRING “\Program Files\Debugging Tools for Windows (x86)”
+0×038 CurrentByteOffset : _LARGE_INTEGER 0×0
+0×040 Waiters : 0
+0×044 Busy : 0
+0×048 LastLock : (null)
+0x04c Lock : _KEVENT
+0x05c Event : _KEVENT
+0x06c CompletionContext : (null)

那么我们查找下那些附加信息。在对象头结构中我们可以看到

+0x00d HandleInfoOffset : 0×8 ”

说明_object_handle_information这个结构是存在的，且相对对象头的偏移是0×8。那么这个结构是在对象头之前还是对象头之后呢？ 我们来尝试下。

lkd> dt _object_handle_information 81c53b58-0×8 ntdll!_OBJECT_HANDLE_INFORMATION +0×000 HandleAttributes : 0x81f33908 +0×004 GrantedAccess : 1

lkd> dt _object_handle_information 81c53b58+0×8+0×18 错误 ntdll!_OBJECT_HANDLE_INFORMATION +0×000 HandleAttributes : 0x81fe67c8 +0×004 GrantedAccess : 0xe1201510

lkd> dt _object_handle_information 81c53b58+0×8 错误 ntdll!_OBJECT_HANDLE_INFORMATION +0×000 HandleAttributes : 0x81feb040 +0×004 GrantedAccess : 0×40000800

很明显，附加信息是在对象头之前，在XP系统中实际调试与毛老师对REACTOS的分析略有不同，应该两个系统的实现还是存在些许差别。

本文总结了对象头，对象本体，附加信息的实际分布，并且从句柄获取句柄对应的对象的各种信息的调试方法。