内核对象分析

内核对象是指windows内核实现的一组更为基础的对象。

  1.内核对象的数据结构只能被内核访问，因此应用程序无法在内存中找到这些数据结构并直接改变它们的内容
  2.当调用一个用于创建内核对象的函数时，该函数就返回一个用于标识该对象的句柄

_OBJECT_DIRECTORY 内核对象散列表结构

_OBJECT_DIRECTORY_ENTRY 数组，每个_OBJECT_DIRECTORY_ENTRY指向下一个_OBJECT_DIRECTORY_ENTRY

全局变量 obprootdireCtoryobject                        ;_OBJECT_DIRECTORY 的指针

全局变量 obtypeindextable                                ;内核对象类型数组的指针

_object_header 内核对象头,位于对象体开始前0x18字节

 

1.获取内核对象的类型

2. 遍历内核对象数组，获取所有内核对象