-
-
[原创] 续上篇,Win 7 64 位下遍历对象目录方法探究。
-
发表于: 2018-4-2 10:55
-
1.原因,解决因设备被占用是IoGetDeviceObjectPointer 获取不到设备指针的问题。
2.本文为大白兔一手手打,如果有和大佬侵权的部分,请留言指正,即刻修改,有严重影响则即刻删除。您可以共享此文,请注明出处爱上看雪的只为共享的大白兔声明敬上。
3.思路来源和上文相似,一个套路,写这篇意为给此系列一个完整版方便您的资料需求。
4.读此文之前您需要一个Win7 64位版本的操作系统,下面开启我的探寻之旅:
kd> !object \
Object: fffff8a000004640(64位操作系统下对象地址是8字节的) Type: (fffffa8018d41b50 对象的类型对象地址) Directory(对象的类型名称)
ObjectHeader: fffff8a000004610 (new version,看来新版本的意思是XP和Win 7的区别呢 )
HandleCount: 0 PointerCount: 41
Directory Object: 00000000(上一级的目录对象) Name: \
kd> !object \
Object: fffff8a000004640(64位操作系统下对象地址是8字节的) Type: (fffffa8018d41b50 对象的类型对象地址) Directory(对象的类型名称)
ObjectHeader: fffff8a000004610 (new version,看来新版本的意思是XP和Win 7的区别呢 )
HandleCount: 0 PointerCount: 41
Directory Object: 00000000(上一级的目录对象) Name: \
不明白,再来一次。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-4-4 10:19
被wo爱吃大白兔编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
是的,确实是通用的,所以前面32位版本可以编译直接运行成功,但出于演示的目的,我特意指出了32位和64位ULONG 长度的不统一部分,这样可能来的更直观,代码上确实会冗杂,如果没有使用合适的内存对齐策略,我想还是不能通用的,所以为了直观,共享,我特意对3大系统板块都做了分析,然后定义出来。 |
|
|
32、64不同的长度可以用ULONG_PTR或者PVOID,在32下是4字节、64下是8字节,定义一个结构就可以通吃所有系统的。而且实际上微软也是用ULONG_PTR/PVOID的。 ps::再提一下,遍历Directory的时候没加锁,虽然无伤大雅一般情况下不会出什么问题。
最后于 2018-4-4 10:20
被hzqst编辑
,原因:
|
|
|
感谢您的批评,很乐意接受您的指正,您的观点我很认同。 |
|
|
感谢楼主分享自己的学习经历和成果!
|
|
|
嗯嗯,您说的ULONG_PTR方式用于编写自定义结构很有效果,但是针对本次的演示,我想请同仁注意,此次64位下逆向出来的结构中含有整型大多都是4字节的,只有头对象那一结构中有两个是8字节的,这些细节就产生一个做法:要做32位和64位结构兼容时,除了对象头结构那两个PointerCount 和HandleCount应该使用ULONG_PTR方式兼容,其他的整型数据都应该使用ULONG来做或者ULONG32。哈哈,您提倡加锁的观点非常好,这个部分应该要加上,补足代码的缺点呢。
最后于 2018-4-4 10:42
被wo爱吃大白兔编辑
,原因:
|
|
|
哈哈,谢谢版主。 |
|
|
|
|
|
|
hzqst
KevinsBobo
