原文发表于百度空间,2010-08-01
==========================================================================

今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。
事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win7以后,在Vista的基础上变动则比较大,主要是体现在两个方面:
(1)、对象相关结构(OBJECT_HEADER,OBJECT_TYPE,OBJECT_TYPE_INITIALIZER等)的变化
这体现了对象管理内部架构的变化,同时也多导出了几个操作对象结构的函数。以对象头为例:

lkd> dt _OBJECT_HEADER(XP)

nt!_OBJECT_HEADER

    +0x000 PointerCount      : Int4B

    +0x004 HandleCount       : Int4B

    +0x004 NextToFree        : Ptr32 Void

    +0x008 Type              : Ptr32 _OBJECT_TYPE

    +0x00c NameInfoOffset    : UChar

    +0x00d HandleInfoOffset : UChar

    +0x00e QuotaInfoOffset   : UChar

    +0x00f Flags             : UChar

    +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION

    +0x010 QuotaBlockCharged : Ptr32 Void

    +0x014 SecurityDescriptor : Ptr32 Void

    +0x018 Body              : _QUAD

kd> dt _OBJECT_HEADER(Win7)

nt!_OBJECT_HEADER

    +0x000 PointerCount      : Int4B

    +0x004 HandleCount       : Int4B

    +0x004 NextToFree        : Ptr32 Void

    +0x008 Lock              : _EX_PUSH_LOCK

    +0x00c TypeIndex         : UChar

    +0x00d TraceFlags        : UChar

    +0x00e InfoMask          : UChar

    +0x00f Flags             : UChar

    +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION

    +0x010 QuotaBlockCharged : Ptr32 Void

    +0x014 SecurityDescriptor : Ptr32 Void

    +0x018 Body              : _QUAD

对象头的大小不变,依然为0x18,这体现了MS向下兼容的思想。但是从偏移8开始,有4个字段的意义发生了变化.

具体地各个新字段有什么作用,后面再详细讲述。
相关的“新”函数:

PVOID

ObGetObjectType(

     IN PVOID Object);

PVOID

ObQueryNameInfo(

     IN PVOID Object);

二、对对象的引用(Refrence)/反引用(Derefrence)过程的追踪机制增强
具体体现在增加了一系列带有Tag参数的对象引用(Refrence)/反引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。
在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数的函数完成相应功能。相关函数如下:
ObfDereferenceObjectWithTag/ObfReferenceObjectWithTag
ObDereferenceObjectDeferDelete/ObDereferenceObjectDeferDeleteWithTag
ObReferenceObjectByHandle/ObReferenceObjectByHandleWithTag
ObReferenceObjectByPointer/ObReferenceObjectByPointerWithTag
ObfReferenceObject/ObfReferenceObjectWithTag
ObOpenObjectByPointer/ObOpenObjectByPointerWithTag
这只是其外部表现,在内部实际上大大增强了对象的引用(Refrence)/反引用(Derefrence)跟踪机制(xp/win2k3也有此机制,但相对较弱).
如果你并不想深入了解和使用这个跟踪机制,那大可使用以前版本的函数,具体情况以后会详细详述。

其它增加的函数:
1、ObDeleteCapturedInsertInfo(Vista/Win7新增)

VOID

ObDeleteCapturedInsertInfo(

     IN PVOID Object

     );

这个函数释放掉对象头中的creation information结构。

2、ObGetFilterVersion(Vista/Win7新增)

USHORT

ObGetFilterVersion()

{

    return ;

}

该函数返回ObjectFilter的版本(在ObRegisterCallback时会用到).

3、ObIsDosDeviceLocallyMapped(Vista/Win7新增)

NTSTATS

ObIsDosDeviceLocallyMapped(

IN ULONG Index,

OUT BYTE *DosDeviceState

);

似乎是用于获取某个盘符的映射状态(系统第一次调用时,使用的索引是3,对应于'C',即检查C盘这个符号链接的状态)

6、ObIsKernelHandle(Vista/Win7新增)
其实很简单,判断一下KERNEL_HANDLE标志是否有效,并且不是无效句柄

BOOLEAN

ObIsKernelHandle(

   IN HANDLE Handle)

{

  return (Handle & 0x80000000) == 0x80000000 && Handle != - && Handle != -;

}

7、ObRegisterCallbacks/ObUnRegisterCallbacks(Win7/Vista新增)
MSDN上说:The ObRegisterCallbacks routine registers a list of callback routines for thread and process handle operations.
说得很明确了,只能用于Thread/Process类型,可以在这两个类型的对象的句柄创建前后进行干涉,具体细节后面再说。

这只是一篇概述,涉及到的细节有时间慢慢说吧~~

【旧文章搬运】从XP到Win7看Windows对象管理的变化(概述)的更多相关文章

  1. 【旧文章搬运】Win7可变对象头结构之InfoMask解析

    原文发表于百度空间,2010-08-11========================================================================== 对Wind ...

  2. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  3. 【旧文章搬运】Windows内核常见数据结构(驱动相关)

    原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中 ...

  4. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  5. 【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决

    原文发表于百度空间,2010-04-05========================================================================== 这也许是我 ...

  6. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  7. 【旧文章搬运】Windbg+Vmware驱动调试入门(二)---Vmware及GuestOS的设置

    原文发表于百度空间,2009-01-08========================================================================== 这一篇是主 ...

  8. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  9. 【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

    原文发表于百度空间,2008-12-03========================================================================== 今天写程序 ...

随机推荐

  1. 获取EF查询的SQL语句

    在EF编程中我们能够通过lamda表达式能够进行查询数据.获取到IQueryable<T>结果,我们要想知道详细的SQL语句是什么须要使用ObjectQuery<T>进行处理 ...

  2. python--多种程序分析(2)

    1.文件操作有哪些模式?请简述各模式的作用 r模式只读  w模式只写 a模式只添加   r+可读可写  w+可写可读  a+可读可添加   rb  二进制只读  wb 二进制只写   ab 二进制添加 ...

  3. 每天一点儿Java--list

    import java.awt.*; import java.awt.event.*; import javax.swing.*; import javax.swing.event.*; /** * ...

  4. 怎么实现单击span时给span添加边框

    说明: 1.开发环境 vs2012 asp.net mvc4 c# 1.效果图 2.html 前端代码 <%@ Page Language="C#" AutoEventWir ...

  5. JS 怎么把数组类型的参数传递到后台,后台怎么获取

    说明:开发环境 vs2012 asp.net mvc4 c# 1.HTML前端代码 <%@ Page Language="C#" AutoEventWireup=" ...

  6. 九度OJ 1123:采药 (01背包、DP、DFS)

    时间限制:1 秒 内存限制:32 兆 特殊判题:否 提交:2705 解决:1311 题目描述: 辰辰是个很有潜能.天资聪颖的孩子,他的梦想是称为世界上最伟大的医师. 为此,他想拜附近最有威望的医师为师 ...

  7. 阻止SSIS import excel时的默认行为

    为什么SSIS总是错误地获取Excel数据类型,以及如何解决它! 由Concentra发布 2013年5月15日 分享此页面 分享   发现Concentra的分析解决方案 Concentra的分析和 ...

  8. 头文件---#include<***.h>和#include"***.h"的区别

    采用"< >"方式进行包含的头文件表示让编译器在编译器的预设标准路径下去搜索相应的头文件,如果找不到则报错. 例如:VS的安装目录\Microsoft Visual S ...

  9. linux CentOS7.2配置LNMP

    转自http://www.centoscn.com/CentosServer/www/2014/0904/3673.html 准备篇: CentOS 7.0系统安装配置图解教程 http://www. ...

  10. webpack4 中的最新 React全家桶实战使用配置指南!

    最新React全家桶实战使用配置指南 这篇文档 是吕小明老师结合以往的项目经验 加上自己本身对react webpack redux理解写下的总结文档,总共耗时一周总结下来的,希望能对读者能够有收获, ...