原文发表于百度空间,2010-08-01
==========================================================================

今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。
事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win7以后,在Vista的基础上变动则比较大,主要是体现在两个方面:
(1)、对象相关结构(OBJECT_HEADER,OBJECT_TYPE,OBJECT_TYPE_INITIALIZER等)的变化
这体现了对象管理内部架构的变化,同时也多导出了几个操作对象结构的函数。以对象头为例:

lkd> dt _OBJECT_HEADER(XP)

nt!_OBJECT_HEADER

    +0x000 PointerCount      : Int4B

    +0x004 HandleCount       : Int4B

    +0x004 NextToFree        : Ptr32 Void

    +0x008 Type              : Ptr32 _OBJECT_TYPE

    +0x00c NameInfoOffset    : UChar

    +0x00d HandleInfoOffset : UChar

    +0x00e QuotaInfoOffset   : UChar

    +0x00f Flags             : UChar

    +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION

    +0x010 QuotaBlockCharged : Ptr32 Void

    +0x014 SecurityDescriptor : Ptr32 Void

    +0x018 Body              : _QUAD

kd> dt _OBJECT_HEADER(Win7)

nt!_OBJECT_HEADER

    +0x000 PointerCount      : Int4B

    +0x004 HandleCount       : Int4B

    +0x004 NextToFree        : Ptr32 Void

    +0x008 Lock              : _EX_PUSH_LOCK

    +0x00c TypeIndex         : UChar

    +0x00d TraceFlags        : UChar

    +0x00e InfoMask          : UChar

    +0x00f Flags             : UChar

    +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION

    +0x010 QuotaBlockCharged : Ptr32 Void

    +0x014 SecurityDescriptor : Ptr32 Void

    +0x018 Body              : _QUAD

对象头的大小不变,依然为0x18,这体现了MS向下兼容的思想。但是从偏移8开始,有4个字段的意义发生了变化.

具体地各个新字段有什么作用,后面再详细讲述。
相关的“新”函数:

PVOID

ObGetObjectType(

     IN PVOID Object);

PVOID

ObQueryNameInfo(

     IN PVOID Object);

二、对对象的引用(Refrence)/反引用(Derefrence)过程的追踪机制增强
具体体现在增加了一系列带有Tag参数的对象引用(Refrence)/反引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。
在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数的函数完成相应功能。相关函数如下:
ObfDereferenceObjectWithTag/ObfReferenceObjectWithTag
ObDereferenceObjectDeferDelete/ObDereferenceObjectDeferDeleteWithTag
ObReferenceObjectByHandle/ObReferenceObjectByHandleWithTag
ObReferenceObjectByPointer/ObReferenceObjectByPointerWithTag
ObfReferenceObject/ObfReferenceObjectWithTag
ObOpenObjectByPointer/ObOpenObjectByPointerWithTag
这只是其外部表现,在内部实际上大大增强了对象的引用(Refrence)/反引用(Derefrence)跟踪机制(xp/win2k3也有此机制,但相对较弱).
如果你并不想深入了解和使用这个跟踪机制,那大可使用以前版本的函数,具体情况以后会详细详述。

其它增加的函数:
1、ObDeleteCapturedInsertInfo(Vista/Win7新增)

VOID

ObDeleteCapturedInsertInfo(

     IN PVOID Object

     );

这个函数释放掉对象头中的creation information结构。

2、ObGetFilterVersion(Vista/Win7新增)

USHORT

ObGetFilterVersion()

{

    return ;

}

该函数返回ObjectFilter的版本(在ObRegisterCallback时会用到).

3、ObIsDosDeviceLocallyMapped(Vista/Win7新增)

NTSTATS

ObIsDosDeviceLocallyMapped(

IN ULONG Index,

OUT BYTE *DosDeviceState

);

似乎是用于获取某个盘符的映射状态(系统第一次调用时,使用的索引是3,对应于'C',即检查C盘这个符号链接的状态)

6、ObIsKernelHandle(Vista/Win7新增)
其实很简单,判断一下KERNEL_HANDLE标志是否有效,并且不是无效句柄

BOOLEAN

ObIsKernelHandle(

   IN HANDLE Handle)

{

  return (Handle & 0x80000000) == 0x80000000 && Handle != - && Handle != -;

}

7、ObRegisterCallbacks/ObUnRegisterCallbacks(Win7/Vista新增)
MSDN上说:The ObRegisterCallbacks routine registers a list of callback routines for thread and process handle operations.
说得很明确了,只能用于Thread/Process类型,可以在这两个类型的对象的句柄创建前后进行干涉,具体细节后面再说。

这只是一篇概述,涉及到的细节有时间慢慢说吧~~

【旧文章搬运】从XP到Win7看Windows对象管理的变化(概述)的更多相关文章

  1. 【旧文章搬运】Win7可变对象头结构之InfoMask解析

    原文发表于百度空间,2010-08-11========================================================================== 对Wind ...

  2. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  3. 【旧文章搬运】Windows内核常见数据结构(驱动相关)

    原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中 ...

  4. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  5. 【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决

    原文发表于百度空间,2010-04-05========================================================================== 这也许是我 ...

  6. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  7. 【旧文章搬运】Windbg+Vmware驱动调试入门(二)---Vmware及GuestOS的设置

    原文发表于百度空间,2009-01-08========================================================================== 这一篇是主 ...

  8. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  9. 【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

    原文发表于百度空间,2008-12-03========================================================================== 今天写程序 ...

随机推荐

  1. java实验8-Java输入输出流

    1 读写文件 [实验目的] (1)掌握文本文件的读写方法. (2)掌握随机文件的读写方法. (3)掌握InputStream.OutputStream抽象类的基本使用. (4)掌握FileInputS ...

  2. web微信开发

    群里接收消息时,使用广播,但需要刷新页面才能接收到广播内容. - 轮询: 定时每秒刷新一次,当群不活跃时,群里的每个客户端都在刷新,对服务端压力太大. - 长轮询:客户端连服务端,服务端一直不断开,也 ...

  3. python的多线程问题

    在对文件进行预处理的时候,由于有的文件有太大,处理很慢,用python处理是先分割文件,然后每个文件起一个线程处理,启了10个线程,结果还比不起线程慢一些,改成多进程之后就好了. 使用multipro ...

  4. 详谈kubernetes更新-2

    系列目录 本文详细探索deployment在滚动更新时候的行为 要详细探讨的参数描述: livenessProbe:存活性探测.判断pod是否已经停止 readinessProbe:就绪性探测.判断p ...

  5. sublime 实用快捷键

    Command+Enter 在下一行插入新行.举个栗子:即使光标不在行尾,也能快速向下插入一行. Command+Shift+Enter 在上一行插入新行.举个栗子:即使光标不在行首,也能快速向上插入 ...

  6. 如何在微信小程序中使用字体图标

    微信小程序中,在image标签里,可以在src中引用本地文件,但是background设置背景图或者使用字体图标的时候,却不能引用本地文件,只能用url地址的图片或字体,或者使用base64编码后的格 ...

  7. Tika解析word文件

    Apache POI - HWPF and XWPF - Java API to Handle Microsoft Word Files http://poi.apache.org/document/ ...

  8. Hive调优实战

    Hive是将符合SQL语法的字符串解析生成可以在Hadoop上执行的MapReduce的工具. 使用Hive尽量按照分布式计算的一些特点来设计sql,和传统关系型数据库有区别,所以需要去掉原有关系型数 ...

  9. 九度OJ 1128:求平均年龄 (基础题)

    时间限制:1 秒 内存限制:32 兆 特殊判题:否 提交:2080 解决:1084 题目描述: 班上有学生若干名,给出每名学生的年龄(整数),求班上所有学生的平均年龄,保留到小数点后两位. 输入: 第 ...

  10. it starts (“forks”) a new process for each connection.

    PostgreSQL: Documentation: 10: 1.2. Architectural Fundamentals https://www.postgresql.org/docs/10/st ...