-
-
[旧帖] [原创]枚举内核对象目录信息 0.00雪花
-
发表于: 2012-3-22 18:33
-
Programming Windows Driver Model这本书中提供了一个工具叫DevView,
通过它可以很方便的查看设备对象的相关信息
不过在我的机器上使用却有问题,当我点击Device这个目录是DevView crash,于是就有了山寨的想法。
目前实现的比较简单,只是单纯的实现了枚举对象目录的功能,也没有实现应用层的交互,
虽然实现简单,功能单一,但是可以作为一个独立的模块知识与大家分享。由于没有实现应用层,就用debugview工具凑合看看把,为了体现对象目录是个树形结构,我稍微用了点分隔符号,表达个意思,下面看个截图(winXP sp2 虚拟机测试)
主要的知识点提一下
定义了两个结构
typedef struct _OBJECT_DIRECTORY_INFORMATION {
UNICODE_STRING Name;
UNICODE_STRING TypeName;
} OBJECT_DIRECTORY_INFORMATION, *POBJECT_DIRECTORY_INFORMATION;
参考了wrk-v1.2\public\sdk\inc\ntobapi.h中的定义
typedef struct _OBJECT_NODE
{
_OBJECT_NODE *NextNode;
_OBJECT_NODE *ChildNode;
WCHAR wsObjName[MAX_OBJ_NAME_LEN];
WCHAR wsTypeName[MAX_OBJ_TYPE_LEN];
}OBJECT_NODE, *POBJECT_NODE;
自定义的结构,用于保存树形结构对象的信息
两个枚举对象目录的API
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
