windows系统的对象管理

windows中的对象和高级编程语言中所说的对象还欧区别,准确来讲,windows中的对象其实指的是一种数据结构并且是一种带着“对象头(object head)” 的数据结构!

 所以windows中的对象可以基本分为三个部分:对象头、基本对象结构、可选部分!
 对象数据结构 可以如图所示  
objectheader结构定义
 1 lkd> dt _object_header
 2 nt!_OBJECT_HEADER
 3 +0x000 PointerCount : Int4B
 4 +0x004 HandleCount : Int4B
 5 +0x004 NextToFree : Ptr32 Void
 6 +0x008 Lock : _EX_PUSH_LOCK
 7 +0x00c TypeIndex : UChar
 8 +0x00d TraceFlags : UChar
 9 +0x00e InfoMask : UChar
10 +0x00f Flags : UChar
11 +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
12 +0x010 QuotaBlockCharged : Ptr32 Void
13 +0x014 SecurityDescriptor : Ptr32 Void
14 +0x018 Body : _QUAD
                                          
而创建对象后就会返回句柄,相关进程可以通过句柄来使用此对象,所以对象可以有名和可以无名。
但是大部分情况,对象还是需要名字的,有名对象的组织就成了一个问题!
在windows中通过OBJECT_DIRECTORY目录对项来管理!
我们看下OBJECT_DIRECTORY结构:
1 lkd> dt _object_directory
2 nt!_OBJECT_DIRECTORY
3 +0x000 HashBuckets : [37] Ptr32 _OBJECT_DIRECTORY_ENTRY
4 +0x094 Lock : _EX_PUSH_LOCK
5 +0x098 DeviceMap : Ptr32 _DEVICE_MAP
6 +0x09c SessionId : Uint4B
7 +0x0a0 NamespaceEntry : Ptr32 Void
8 +0x0a4 Flags : Uint4B
对象目录是由多个节点连接而成的树状结构(不考虑符号连接),树的根是一个目录对象,且树中的每个节点都是对象。除根节点之外,所有的中间节点都必须是目录对象或者符号链接对象(OBJECT_SYMBOLIC_LINK对象),普通的对象只能成为叶节点
看OBJECT_DIRECTORY结构中的第一个元素,是一个OBJECT_DIRECTORY_ENTRY结构指针数组,灭个指针用来维系一个目录项结构的队列,注意,除根节点外,每一个对象都需要借助于目录项结构才能插入目录!
1 lkd> dt nt!_object_directory_entry
2 +0x000 ChainLink : Ptr32 _OBJECT_DIRECTORY_ENTRY
3 +0x004 Object : Ptr32 Void
4 +0x008 HashValue : Uint4B

 

第一个元素仍然指向一个object_directory_entry结构,Object是其连接的对象。
                

 

由上图可以看到目录项可以和具体的普通对象结合插入对象目录,也可以和目录节点对象结合又形成一个目录。
分析下上面的图:
根节点是一个目录对象,主体是一个HASH表,这里只表现了其中的两个队列,每一个队列上的目录项(对象)具有相同的HASH值,结合具体的文件便可以轻松理解!
posted @ 2016-09-22 18:31  jack.chen  Views(1148)  Comments(0Edit  收藏  举报

以马内利