原文发表于百度空间,2008-12-03
==========================================================================

今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为28,而我用的是炉子给的那个SYSTEM_HANDLE_TYPE表,里面给的值却是26!怪不得一个也找不到呢。于是,就花了点时间把这个类型索引给修正了一下,并且把几个UNKNOW的给补充了出来,以后用起来就方便了嘛~

所谓的句柄索引,其实就是下面这个句柄信息结构中的ObjectTypeNumber:

typedef struct _SYSTEM_HANDLE_INFORMATION {

ULONG ProcessId;

UCHAR ObjectTypeNumber;//其实就个

UCHAR Flags;

USHORT Handle;

PVOID Object;

ACCESS_MASK GrantedAccess;

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

而这个东西,也就是OBJECT_TYPE结构中的Index而已,所以叫它索引......

typedef struct _OBJECT_TYPE {

    ERESOURCE Mutex;

    LIST_ENTRY TypeList;

    UNICODE_STRING Name;            // Copy from object header for convenience

    PVOID DefaultObject;

    ULONG Index;

    ULONG TotalNumberOfObjects;

    ULONG TotalNumberOfHandles;

    ULONG HighWaterNumberOfObjects;

    ULONG HighWaterNumberOfHandles;

    OBJECT_TYPE_INITIALIZER TypeInfo;

#ifdef POOL_TAGGING

    ULONG Key;

#endif //POOL_TAGGING

    ERESOURCE ObjectLocks[ OBJECT_LOCK_COUNT ];

} OBJECT_TYPE, *POBJECT_TYPE;

下面给出我修正后的,也补充了一些内容:

typedef enum _SYSTEM_HANDLE_TYPE

{

   OB_TYPE_UNKNOWN=,   //

   OB_TYPE_TYPE,    // 1,fixed

   OB_TYPE_DIRECTORY,   // 2,fixed

   OB_TYPE_SYMBOLIC_LINK, // 3,fixed

   OB_TYPE_TOKEN,    // 4,fixed

   OB_TYPE_PROCESS,   // 5,fixed

   OB_TYPE_THREAD,    // 6,fixed

   OB_TYPE_JOB,    // 7,fixed

   OB_TYPE_DEBUG_OBJECT, // 8,fixed

   OB_TYPE_EVENT,    // 9,fixed

   OB_TYPE_EVENT_PAIR,   //10,fixed

   OB_TYPE_MUTANT,    //11,fixed

   OB_TYPE_CALLBACK,   //12,fixed

   OB_TYPE_SEMAPHORE,   //13,fixed

   OB_TYPE_TIMER,    //14,fixed

   OB_TYPE_PROFILE,   //15,fixed

   OB_TYPE_KEYED_EVENT, //16,fixed

   OB_TYPE_WINDOWS_STATION,//17,fixed

   OB_TYPE_DESKTOP,   //18,fixed

   OB_TYPE_SECTION,   //19,fixed

   OB_TYPE_KEY,    //20,fixed

   OB_TYPE_PORT,    //21,fixed

   OB_TYPE_WAITABLE_PORT, //22,fixed

   OB_TYPE_ADAPTER,   //23,fixed

   OB_TYPE_CONTROLLER,   //24,fixed

   OB_TYPE_DEVICE,    //25,fixed

   OB_TYPE_DRIVER,    //26,fixed

   OB_TYPE_IOCOMPLETION, //27,fixed

   OB_TYPE_FILE,    //28,fixed

   OB_TYPE_WMIGUID    //29,fixed

}SYSTEM_HANDLE_TYPE;

这回就全了。网上找了一下,用到这个枚举的基本都和炉子的LzOpenProcess有关,而那里面只用了OB_TYPE_PROCESS,而这个是对的,其它的估计也没多少人注意,也没什么人用到,所以网上传的基本都是炉子那个不完全正确版本。

ps:后来仔细在WRK中看了一下这个Index 的生成过程,又学到点新东西,原来对象类型也是一种对象,叫做ObpTypeObjectType,就像我们熟知的PsProcessType,PsThreadType一样。而这个索引并不是固定的,而是系统根据需要调用ObCreateObjectType时动态生成的(不过对于某一固定版本的系统,这个应该是固定的吧),所以ObpTypeObjectType的对象计数就是系统中所有对象类型的个数......

最后声明一下,这个类型表是我在XP SP2下搞出来的,谁有时间帮我验证下在别的系统上对不对~(估计在Vista下肯定不对,系统差距太大了)

=========================================================================================================================

后记:这个类型表在每个系统里都不一样,在之后的文章里,会有更深入的一些分析

【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误的更多相关文章

  1. 【旧文章搬运】超级无敌大炉子的LzOpenProcess

    原文发表于百度空间,2008-11-20========================================================================== 这个东西嘛 ...

  2. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  3. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  4. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  5. 【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决

    原文发表于百度空间,2010-04-05========================================================================== 这也许是我 ...

  6. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  7. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  8. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  9. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

随机推荐

  1. 2716 [Violet 3] 天使玩偶

    @(BZOJ)[CDQ分治] Sample Input 100 100 81 23 27 16 52 58 44 24 25 95 34 2 96 25 8 14 97 50 97 18 64 3 4 ...

  2. 【postMan】发送post请求,返回错误码415

    解决方法: 参看:https://www.cnblogs.com/spec-dog/p/3731279.html 将Request的Content-Type:application/json;char ...

  3. SSM框架笔记

    配置 Project结构 SpringMVC启用 Spring MVC配置 Spring自己主动扫描 getBean的方法 SpringMVC与Struts2的差别 Log4j 拦截器与过滤器 文件U ...

  4. 【effective c++】定制new和delete

    条款49: 了解new-handler的行为 operator new 和 operator delete只适合用来分配单一对象.array所用的内存由operator new[]分配出来,并由ope ...

  5. Python基础语法05--函数模块

    Python 函数 函数是组织好的,可重复使用的,用来实现单一,或相关联功能的代码段. 函数能提高应用的模块性,和代码的重复利用率.你已经知道Python提供了许多内建函数,比如print().但你也 ...

  6. CCPhysicsSprite

    #ifndef __PHYSICSNODES_CCPHYSICSSPRITE_H__ #define __PHYSICSNODES_CCPHYSICSSPRITE_H__ #include " ...

  7. Yii 清理缓存

    html: <button onclick="clearCache()">ClearCache</button> js: function clearCac ...

  8. Simple calculations

    Description 有一个包括n+2个元素的数列a0, a1, ..., an+1 (n <= 3000, -1000 <= ai <=1000).它们之间满足ai = (ai- ...

  9. Android图表AChartEngine

    很多时候项目中我们需要对一些统计数据进行绘制表格,更多直观查看报表分析结果.基本有以下几种方法: 1:可以进行android api进行draw这样的话,效率比较低 2:使用开源绘表引擎,这样效率比较 ...

  10. F08标准中Open命令的newunit选项

    从gfortran 4.5开始Open命令开始支持newunit选项,示例如下: integer :: u open(newunit=u, file="log.txt", posi ...