原文发表于百度空间,2008-12-03
==========================================================================

今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为28,而我用的是炉子给的那个SYSTEM_HANDLE_TYPE表,里面给的值却是26!怪不得一个也找不到呢。于是,就花了点时间把这个类型索引给修正了一下,并且把几个UNKNOW的给补充了出来,以后用起来就方便了嘛~

所谓的句柄索引,其实就是下面这个句柄信息结构中的ObjectTypeNumber:

typedef struct _SYSTEM_HANDLE_INFORMATION {

ULONG ProcessId;

UCHAR ObjectTypeNumber;//其实就个

UCHAR Flags;

USHORT Handle;

PVOID Object;

ACCESS_MASK GrantedAccess;

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

而这个东西,也就是OBJECT_TYPE结构中的Index而已,所以叫它索引......

typedef struct _OBJECT_TYPE {

    ERESOURCE Mutex;

    LIST_ENTRY TypeList;

    UNICODE_STRING Name;            // Copy from object header for convenience

    PVOID DefaultObject;

    ULONG Index;

    ULONG TotalNumberOfObjects;

    ULONG TotalNumberOfHandles;

    ULONG HighWaterNumberOfObjects;

    ULONG HighWaterNumberOfHandles;

    OBJECT_TYPE_INITIALIZER TypeInfo;

#ifdef POOL_TAGGING

    ULONG Key;

#endif //POOL_TAGGING

    ERESOURCE ObjectLocks[ OBJECT_LOCK_COUNT ];

} OBJECT_TYPE, *POBJECT_TYPE;

下面给出我修正后的,也补充了一些内容:

typedef enum _SYSTEM_HANDLE_TYPE

{

   OB_TYPE_UNKNOWN=,   //

   OB_TYPE_TYPE,    // 1,fixed

   OB_TYPE_DIRECTORY,   // 2,fixed

   OB_TYPE_SYMBOLIC_LINK, // 3,fixed

   OB_TYPE_TOKEN,    // 4,fixed

   OB_TYPE_PROCESS,   // 5,fixed

   OB_TYPE_THREAD,    // 6,fixed

   OB_TYPE_JOB,    // 7,fixed

   OB_TYPE_DEBUG_OBJECT, // 8,fixed

   OB_TYPE_EVENT,    // 9,fixed

   OB_TYPE_EVENT_PAIR,   //10,fixed

   OB_TYPE_MUTANT,    //11,fixed

   OB_TYPE_CALLBACK,   //12,fixed

   OB_TYPE_SEMAPHORE,   //13,fixed

   OB_TYPE_TIMER,    //14,fixed

   OB_TYPE_PROFILE,   //15,fixed

   OB_TYPE_KEYED_EVENT, //16,fixed

   OB_TYPE_WINDOWS_STATION,//17,fixed

   OB_TYPE_DESKTOP,   //18,fixed

   OB_TYPE_SECTION,   //19,fixed

   OB_TYPE_KEY,    //20,fixed

   OB_TYPE_PORT,    //21,fixed

   OB_TYPE_WAITABLE_PORT, //22,fixed

   OB_TYPE_ADAPTER,   //23,fixed

   OB_TYPE_CONTROLLER,   //24,fixed

   OB_TYPE_DEVICE,    //25,fixed

   OB_TYPE_DRIVER,    //26,fixed

   OB_TYPE_IOCOMPLETION, //27,fixed

   OB_TYPE_FILE,    //28,fixed

   OB_TYPE_WMIGUID    //29,fixed

}SYSTEM_HANDLE_TYPE;

这回就全了。网上找了一下,用到这个枚举的基本都和炉子的LzOpenProcess有关,而那里面只用了OB_TYPE_PROCESS,而这个是对的,其它的估计也没多少人注意,也没什么人用到,所以网上传的基本都是炉子那个不完全正确版本。

ps:后来仔细在WRK中看了一下这个Index 的生成过程,又学到点新东西,原来对象类型也是一种对象,叫做ObpTypeObjectType,就像我们熟知的PsProcessType,PsThreadType一样。而这个索引并不是固定的,而是系统根据需要调用ObCreateObjectType时动态生成的(不过对于某一固定版本的系统,这个应该是固定的吧),所以ObpTypeObjectType的对象计数就是系统中所有对象类型的个数......

最后声明一下,这个类型表是我在XP SP2下搞出来的,谁有时间帮我验证下在别的系统上对不对~(估计在Vista下肯定不对,系统差距太大了)

=========================================================================================================================

后记:这个类型表在每个系统里都不一样,在之后的文章里,会有更深入的一些分析

【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误的更多相关文章

  1. 【旧文章搬运】超级无敌大炉子的LzOpenProcess

    原文发表于百度空间,2008-11-20========================================================================== 这个东西嘛 ...

  2. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  3. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  4. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  5. 【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决

    原文发表于百度空间,2010-04-05========================================================================== 这也许是我 ...

  6. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  7. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  8. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  9. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

随机推荐

  1. hadoop+yarn+hbase+storm+kafka+spark+zookeeper)高可用集群详细配置

    配置 hadoop+yarn+hbase+storm+kafka+spark+zookeeper 高可用集群,同时安装相关组建:JDK,MySQL,Hive,Flume 文章目录 环境介绍 节点介绍 ...

  2. Google代码风格配置文件(Java)(IDEA/Eclipse)

    官网:http://www.cnblogs.com/EasonJim/p/7837474.html 下载: 安装: IDEA/Eclipse导入相应文件即可. 说明: Google代码风格文件的缩进是 ...

  3. centos6.5编译安装gearmand Job Server(C)

    1)下载安装包: wget https://launchpad.net/gearmand/1.2/1.1.12/+download/gearmand-1.1.12.tar.gz 2)安装编译器: yu ...

  4. 从头认识java-15.5 使用LinkedHashSet须要注意的地方

    再接着上一个章节.我们来聊一下使用LinkedHashSet须要注意的地方. LinkedHashSet特点: (1)元素是有顺序的 (2)元素是不反复的 (3)底层数据结构是依照链表的结构存储的 ( ...

  5. JAVA_MyEclipse如何加载JDK JRE

             

  6. candy——动态规划

    There are N children standing in a line. Each child is assigned a rating value. You are giving candi ...

  7. 查询mysql字段名和字段注释

    select COLUMN_NAME,column_comment from INFORMATION_SCHEMA.Columns where table_name='表名' and table_sc ...

  8. PHP通用分页

    php通用分页,先看下样式 代码如下: <style> body { font-size:12px;font-family:verdana;width:100%; } div.page{ ...

  9. crm操作约会实体

    using System;     using Microsoft.Xrm.Sdk;     using Microsoft.Crm.Sdk.Messages;     using Microsoft ...

  10. 微信小程序项目实例

    目前为止最全的微信小程序项目实例 2018年03月20日 11:38:28 Happy王子乐 阅读数:4188   wx-gesture-lock  微信小程序的手势密码 WXCustomSwitch ...