《Windows内核情景分析》常用内核函数

最新推荐文章于 2026-05-09 10:41:22 发布

原创最新推荐文章于 2026-05-09 10:41:22 发布 · 2.6k 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#windows #object

收录于

本文介绍了Windows内核中对象管理的三个关键函数：ObReferenceObjectByHandle用于从句柄获取对象；ObReferenceObjectByName用于根据对象名称返回对象指针；ObfDereferenceObject则用于减少对象引用计数，必要时可删除对象。

1.ObReferenceObjectByHandle()

Handle->Object的过程。具体的查找过程是由ExpLookupHandleTableEntry函数实现的。具体过程(bla bla一堆)还是看别人的吧。http://www.debugman.com/read.php?tid=830&page=1&toread=1

2. ObReferenceObjectByName()

这个函数未公开，所以要使用这个函数必须先声明。

通过对象Name返回执行目标对象的指针。

3. ObfDereferenceObject()

撤销对于目标对象的引用。递减其引用计数。如果要立即删除对象，调用ObpDeleteObject()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

strongxu

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

在内核驱动中检测隐藏进程

01-13

在安全检测工具中．一般都比较重视隐藏进程的检测。道理很简单．正常的进程没有必要去隐藏自己．毕竟隐藏进程花费的代价还是很高的。为什么这么说呢 ? 系统中安装了钩子．运行效率自然不会很高人正不怕影子歪．所以说没有必要去隐藏自己。当然也有一些例外的网游．为了保护自己从而隐藏进程．常见的有韩国nProtect公司的跑跑卡丁车．就存在隐藏进程GameMon．des的运行

参与评论您还未登录，请先登录后发表或查看评论

取消Irp引起蓝屏(BugCheck:0x18)

lixiangminghate的专栏

02-22

2666

昨天写一个简单的驱动，驱动的write例程会将IRP挂起放进自定义的队列中，然后在另一个线程中取消这些挂起的IRP： NTSTATUS SampleCharWriteAsync(PDEVICE_OBJECT devObj, PIRP irp) { KIRQL oldIrql; SampleCharDevContext* devCtx = (SampleCharDevContext*)devO

深入分析Win7的对象引用跟踪机制

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

07-26

1599

深入分析Win7的对象引用跟踪机制 2010年09月12日 19:34 Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数，更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。在Win7中，以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数

OpenKai：构建Kubernetes纵深防御安全框架的实践指南

最新发布

weixin_30596023的博客

05-09

568

在云原生时代，容器与Kubernetes已成为应用部署的事实标准，传统安全边界逐渐模糊。容器安全与云原生安全成为企业面临的核心挑战，需要从工作负载、配置、网络、运行时等多层面构建防护体系。其技术原理在于通过集成一系列开源安全工具，形成协同工作的防御框架，实现从数据采集、分析引擎到策略管理的全链路覆盖。这种方案的技术价值在于提供统一的安全观测平面，实现威胁关联分析与自动化响应，有效应对容器逃逸、横向移动等攻击场景。本文以OpenKai为例，深入解析如何整合Falco、Trivy等工具构建Kubernetes纵

硬件ID查询欺骗驱动程序样本逆向分析练习IDA使用

weixin_62197674的博客

09-20

1444

参数 *(_QWORD *)(v6 + 24)确定为搜索开始的地址，再向上一行，V6=V24，v24是一个指针地址，结构体指针，还不能确定是哪个结构体，因为ObReferenceObjectByName调用的参数明显不对，IDA中还出现了UNK字段，F5也不是那么好用啊，先向下看。分析到这里可以确定这个驱动为开源的写法，通过关闭smart，hookirp函数达到hwid欺骗的目的，再查询过程中直接找到了个项目的开源地址，哈哈，不过我是为了熟悉ida操作来分析的，无所谓咯。

对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)

qq492927689的博客

06-03

1112

转载来源：https://blog.csdn.net/wzsy/article/details/6188554为对象分配内存看完了, 这次我们看一个比较高层的函数。 ObCreateObject, 这是内核的导出函数, 所有模块都可以使用(虽然它没有被文档化…) 它的作用是创建指定类型(OBJECT_TYPE)的对象示例。(注意ObAllocateObject只是分配了空间, 这里可以看到后续的操作) 这个函数的参数还真多啊。微软函数的参数一直都和火车一样。我们只能淡定。。。 NTSTATUS ObCrea

Windows内核情景分析采用开源代码ReactOS下册资源下载

gitblog_06745的博客

05-13

999

Windows内核情景分析采用开源代码ReactOS下册资源下载去发现同类优质开源项目:https://gitcode.com/ 深入理解Windows操作系统的核心——Windows内核，一直是技术人员追求的至高境界。今天，我们将为您推荐一个开源项目《Windows内核情景分析——采用开源代码ReactOS(下册)资源下载》，让您在探索Windows内核的道路上更进一步。项目介绍本项目是一...

windows 内核情景分析

bcbobo21cn的专栏

04-27

1920

原文很长；先转部分过来，有时间看一下；一 windows 内核情景分析---说明说明本文结合《Windows内核情景分析》（毛德操著）、《软件调试》（张银奎著）、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及 ReactOS操作系统 (V0.3.12)源码，以《Windows内核情景分析》为蓝本，对Windows内核重要框架、函数、结构体进行解析由于工程庞大，我能理解到的只是冰山一角，但本文.

windows内核情景分析

sgzwiz的专栏

04-21

2763

windows内核情景分析 --APC，有需要的朋友可以参考下。 APC：异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是：主线程在内核构造好运行环境后，从KiThreadStartup开始运行，然后调用PspUserThreadStartup，在该线程的apc队列中插入一个APC：LdrInitializeThunk,这样，当PspUserThreadStartup返回

《Windows内核情景分析上 - 采用开源代码ReactOS（上册）》高清完整.pdf版

gitblog_06740的博客

05-08

424

《Windows内核情景分析上 - 采用开源代码ReactOS（上册）》高清完整.pdf版去发现同类优质开源项目:https://gitcode.com/ 此资源文件为《Windows内核情景分析上 - 采用开源代码ReactOS（上册）》的高清完整.pdf版本。本书是Windows内核领域的入门书籍，作者通过一年时间的精心研读，认为本书是Windows内核方面的经典之作。书中采用开源代码Re...

三。对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)

求索

02-16

9556

三。对象创建(ObCreateObject)和对象删除(ObDereferenceObject、ObpRemoveObjectRoutine)

再谈进程PID相同的深入探究

sunxuns

04-08

1715

创建时间：2005-04-21 更新时间：2005-04-21文章属性：原创文章提交：sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T]shellcoder@163.comhttp://blog.csdn.net/s

内核隐藏进程

125096

11-16

2668

#include #include #include NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Process); #ifndef MAX_PATH #define MAX_PATH 260 #endif DWORD g_OsVersion;

由枚举模块到ring0内存结构 (分析NtQueryVirtualMemory)

weixin_30667649的博客

07-23

910

是由获得进程模块而引发的一系列的问题，首先，在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举，其中ZwQueryInformationProcess相当于是调用系统服务函数，其内部实现就是遍历PEB中的Moudle链表， kd> dt _PEB +0x00c Ldr...

由ObReferenceObject推导windows对象管理器

sqqsongqiqi的专栏

01-09

943

#define ObReferenceObject(Object) ObfReferenceObject(Object) LONG_PTR FASTCALL ObfReferenceObject ( __in PVOID Object ) /*++ Routine Description: This function increments the referen

Windows内核函数的命名

weixin_30265103的博客

12-10

219

Windows内核函数的命名《Windows内核情景分析--采用开源代码ReactOS(上、下册)》本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。本小节为大家介绍Windows内核函数的命名。 AD： 1.5 Windows内核函数的命名 Windows的内核函数在命名上有个很好的特色，就是函数名都按...

驱动开发：内核监控进程与线程回调

m0_56069948的博客

10-23

792

系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现，此类函数的原理是创建一个回调事件，当有进程或线程被创建或者注销时，系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用，我们则成功拦截了这次打开，当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开，那么就可以实现一个简单的防恶意程序，进程监控在防恶意程序中也是用的最多的。如上，该函数只有两个参数，第一个参数是回调函数，第二个参数是是否注销，通常在驱动退出时可以传入。

函数......ObReferenceObjectByHandle

天蓝的专栏

12-10

6276

ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。 stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0);ObReferenceObjectByHandle(

TLS线程局部存储

megaparsec

02-11

1345

TLS线程局部存储