原文发表于百度空间,2008-12-03
==========================================================================

今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为28,而我用的是炉子给的那个SYSTEM_HANDLE_TYPE表,里面给的值却是26!怪不得一个也找不到呢。于是,就花了点时间把这个类型索引给修正了一下,并且把几个UNKNOW的给补充了出来,以后用起来就方便了嘛~

所谓的句柄索引,其实就是下面这个句柄信息结构中的ObjectTypeNumber:

typedef struct _SYSTEM_HANDLE_INFORMATION {

ULONG ProcessId;

UCHAR ObjectTypeNumber;//其实就个

UCHAR Flags;

USHORT Handle;

PVOID Object;

ACCESS_MASK GrantedAccess;

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

而这个东西,也就是OBJECT_TYPE结构中的Index而已,所以叫它索引......

typedef struct _OBJECT_TYPE {

    ERESOURCE Mutex;

    LIST_ENTRY TypeList;

    UNICODE_STRING Name;            // Copy from object header for convenience

    PVOID DefaultObject;

    ULONG Index;

    ULONG TotalNumberOfObjects;

    ULONG TotalNumberOfHandles;

    ULONG HighWaterNumberOfObjects;

    ULONG HighWaterNumberOfHandles;

    OBJECT_TYPE_INITIALIZER TypeInfo;

#ifdef POOL_TAGGING

    ULONG Key;

#endif //POOL_TAGGING

    ERESOURCE ObjectLocks[ OBJECT_LOCK_COUNT ];

} OBJECT_TYPE, *POBJECT_TYPE;

下面给出我修正后的,也补充了一些内容:

typedef enum _SYSTEM_HANDLE_TYPE

{

   OB_TYPE_UNKNOWN=,   //

   OB_TYPE_TYPE,    // 1,fixed

   OB_TYPE_DIRECTORY,   // 2,fixed

   OB_TYPE_SYMBOLIC_LINK, // 3,fixed

   OB_TYPE_TOKEN,    // 4,fixed

   OB_TYPE_PROCESS,   // 5,fixed

   OB_TYPE_THREAD,    // 6,fixed

   OB_TYPE_JOB,    // 7,fixed

   OB_TYPE_DEBUG_OBJECT, // 8,fixed

   OB_TYPE_EVENT,    // 9,fixed

   OB_TYPE_EVENT_PAIR,   //10,fixed

   OB_TYPE_MUTANT,    //11,fixed

   OB_TYPE_CALLBACK,   //12,fixed

   OB_TYPE_SEMAPHORE,   //13,fixed

   OB_TYPE_TIMER,    //14,fixed

   OB_TYPE_PROFILE,   //15,fixed

   OB_TYPE_KEYED_EVENT, //16,fixed

   OB_TYPE_WINDOWS_STATION,//17,fixed

   OB_TYPE_DESKTOP,   //18,fixed

   OB_TYPE_SECTION,   //19,fixed

   OB_TYPE_KEY,    //20,fixed

   OB_TYPE_PORT,    //21,fixed

   OB_TYPE_WAITABLE_PORT, //22,fixed

   OB_TYPE_ADAPTER,   //23,fixed

   OB_TYPE_CONTROLLER,   //24,fixed

   OB_TYPE_DEVICE,    //25,fixed

   OB_TYPE_DRIVER,    //26,fixed

   OB_TYPE_IOCOMPLETION, //27,fixed

   OB_TYPE_FILE,    //28,fixed

   OB_TYPE_WMIGUID    //29,fixed

}SYSTEM_HANDLE_TYPE;

这回就全了。网上找了一下,用到这个枚举的基本都和炉子的LzOpenProcess有关,而那里面只用了OB_TYPE_PROCESS,而这个是对的,其它的估计也没多少人注意,也没什么人用到,所以网上传的基本都是炉子那个不完全正确版本。

ps:后来仔细在WRK中看了一下这个Index 的生成过程,又学到点新东西,原来对象类型也是一种对象,叫做ObpTypeObjectType,就像我们熟知的PsProcessType,PsThreadType一样。而这个索引并不是固定的,而是系统根据需要调用ObCreateObjectType时动态生成的(不过对于某一固定版本的系统,这个应该是固定的吧),所以ObpTypeObjectType的对象计数就是系统中所有对象类型的个数......

最后声明一下,这个类型表是我在XP SP2下搞出来的,谁有时间帮我验证下在别的系统上对不对~(估计在Vista下肯定不对,系统差距太大了)

=========================================================================================================================

后记:这个类型表在每个系统里都不一样,在之后的文章里,会有更深入的一些分析

【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误的更多相关文章

  1. 【旧文章搬运】超级无敌大炉子的LzOpenProcess

    原文发表于百度空间,2008-11-20========================================================================== 这个东西嘛 ...

  2. 【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具

    原文发表于百度空间,2009-01-09========================================================================== 今天又想起 ...

  3. 【旧文章搬运】深入分析Win7的对象引用跟踪机制

    原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm============================ ...

  4. 【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

    原文发表于百度空间,2010-08-09========================================================================== 在Wind ...

  5. 【旧文章搬运】PsVoid中IrpCreateFile函数在Win7下蓝屏BUG分析及解决

    原文发表于百度空间,2010-04-05========================================================================== 这也许是我 ...

  6. 【旧文章搬运】分析了一下360安全卫士的HOOK(二)——架构与实现

    原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被 ...

  7. 【旧文章搬运】再谈隐藏进程中的DLL模块

    原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...

  8. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  9. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

随机推荐

  1. 【kotlin】报错:required:LIst<XXX> found:List<Unit>此类型的问题

    出现问题如下: 解决方式如下: 解决思路:上面报出来的错误很明显,就是说想要的是List<XXX>类型但是给的却是List<Unit>类型,给的不是它想要的嘛 关键就是解决问题 ...

  2. Vue.js 和 MVVM

    MVVM 是Model-View-ViewModel 的缩写,它是一种基于前端开发的架构模式,其核心是提供对View 和 ViewModel 的双向数据绑定,这使得ViewModel 的状态改变可以自 ...

  3. pyv8的安装和使用:python中执行js代码

    pyv8 的作用是在python中执行js代码,然后可以使用js里的变量等内容.python取得javascript里面的值.javascript取得python里面的值.python和javascr ...

  4. python发声

    python发声 学习了:http://www.jb51.net/article/62644.htm import winsound winsound.Beep(600,1000) #其中600表示声 ...

  5. ios9定位服务的app进入后台三分钟收不到经纬度,应用被挂起问题及解决方式

    原来定位服务是10分钟收不到定位信息就挂起定位,如今变为最短3分钟,预计都是为了省电吧. 仅仅要你开启应用的后台定位,而且10分钟有一次定位,那么苹果就不会关闭你的线程.如今变成3分钟.若你的应用开启 ...

  6. MongoDB---出现no write has been done on this connection解决方式

    no write has been done on this connection 这个问题出现了好几天.日志里面一天出现几十次no write has been done on this conne ...

  7. 三联动 支持ie6,ie7 省,市,区

    三联动 支持ie6,ie7 省,市,区 <html xmlns="http://www.w3.org/1999/xhtml"> <head> <tit ...

  8. CentOS 5.5下搭建部署独立SVN服务器全程详解

    SVN服务器有2种运行方式:1.独立服务器 (例如:svn://xxx.com/xxx):2.借助apache   (例如:http://svn.xxx.com/xxx):为了不依赖apache,我选 ...

  9. 【转载】“菜”鸟理解.NET Framework(CLI,CLS,CTS,CLR,FCL,BCL)

    既然要学.NET,就要先认识认识她,我不喜欢大段大段文字的东西,自己通过理解,画个图,来看看.NET的沉鱼落雁,闭月羞花之容. 最下层蓝色部分是.NET Framework的基础,也是所有应用软件的基 ...

  10. 【linux驱动分析】之dm9000驱动分析(三):sk_buff结构分析

    [linux驱动分析]之dm9000驱动分析(一):dm9000原理及硬件分析 [linux驱动分析]之dm9000驱动分析(二):定义在板文件里的资源和设备以及几个宏 [linux驱动分析]之dm9 ...