【旧文章搬运】Win7 OBJECT_HEADER之TypeIndex解析

原文发表于百度空间，2010-08-09
==========================================================================

在Windows系统的对象管理中，为了能够从对象头获取对象类型指针，在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针，而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里，这个表叫做ObTypeIndexTable。这个表可以这么定义：
POBJECT_TYPE ObTypeIndexTable[0x100];
Win7的对象头中不再保存ObjectType指针，而是保存了TypeIndex，也就是对象类型在该表中的索引，并且提供了一个函数ObGetObjectType。需要取得对象类型时直接使用导出函数ObGetObjectType就可以得到对应的对象类型了，反而比以前方便。
该函数非常简单，还原成代码如下：

POBJECT_TYPE
ObGetObjectType(
    IN PVOID Object)
{
    POBJECT_HEADER ObjectHeader=OBJECT_TO_OBJECT_HEADER(Object);
    return ObTypeIndexTable[ObjectHeader->TypeIndex];
}

代码很简单，传入一个对象，取对象头中的TypeIndex作为索引，然后返回ObTypeIndexTable中对应的值。

一个简单的获取所有对象类型指针的方法就是:从ObGetObjectType中取ObTypeIndexTable遍历即可，比较简单~
ObTypeIndexTable这个表是在ObInitSystem中被初始化的，这时的初始化并没有实际填充其内容。ObInitSystem中部分代码如下：

83df4420 6a50             push     50h
83df4422 8d8558feffff     lea      eax,[ebp-1A8h]
83df4428                push     ebx
83df4429                push     eax
83df442a c705c478b983b0b0d0ba mov dword ptr [nt!ObTypeIndexTable+0x4 (83b978c4)],0BAD0B0B0h
83df4434 e807fac9ff       call     nt!memset (83a93e40)

也就是说令ObTypeIndexTable[1]=0xBAD0B0B0，这个常数在Windows中表示一个无效的对象类型指针，从Win2000至Win7都是如此，有效的对象类型则从索引2开始，具体细节可参考这里。(感谢炉子提供信息)

创建对象类型的函数是ObCreateObjectType，不过这家伙啥也不干，直接调用ObCreateObjectTypeEx去了。
创建一个对象类型时具体干了哪些事，完全可以参考Wrk中的ObCreateObjectType，说简单了就是申请一块内存然后根据传入的参数进行填充一下,需要注意的还是这个Index的值。ObCreateObjectTypeEx每创建一个对象类型都要申请一个索引，用来保存创建的对象类型到ObTypeIndexTable表中的相应位置。不论哪个系统，创建的第一个对象类型就是“对象类型”。听起来确实比较别扭，它的名字是ObpTypeObjectType，正如设备对象的类型叫做IoDeviceObjectType一样。不过不同的是，Win7中ObpTypeObjectType对应的Index是2,而在此以前的系统中，该类型对应的Index总是1.
在ObCreateObjectTypeEx中申请该Index时有如下代码：

BYTE newIndex;
NTSTATUS status;
if ( theObjectType ==   ObpTypeObjectType )
{
     newIndex = ;
}
else
{
     status = ObpAllocateTypeIndex(&newIndex);
    //省略...
}

可以看到,系统对ObpTypeObjectType有特殊处理，当创建该对象类型时，指定了其TypeIndex为2。否则就调用ObpAllocateTypeIndex申请一个有效的索引。
ObpAllocateTypeIndex实际上是从ObTypeIndexTable[2]这个位置(也就是存放ObpTypeObjectType的位置)开始，依次判断内容是否为0，若不为0，则继续判断下一个
若为0,表明这个Index所在的位置尚未被人使用，就返回这个Index就可以了。
在系统启动的过程中，各种类型的对象类型依次创建并被填充到这个表里。系统启动完成后，ObjectType都创建完毕，完整的ObTypeIndexTable如下：

kd> dd ObTypeIndexTable
83b588c0    bad0b0b0 84dafd80 84dafcb8
83b588d0   84dafbf0 84daf9a8 84daf868 84daf7a0
83b588e0   84daf6d8 84daf610 84daf548 84e35ca0
83b588f0   84e53d20 84e4f780 84e57e38 84e572b8
83b58900   84e4f1e0 84e48418 84e48350 84e49418
83b58910   84e49350 84e53868 84e537a0 84e536d8
83b58920   84e4a9b8 84e4a8f0 84e4a828 84e4a760
83b58930   84e4a698 84e50f78 84e50eb0 84e50de8
83b58940   84e50d20 84e50b50 84e507b0 84e521f8
83b58950   84e4ca98 84e26f50 84e2aa80 84e55548
83b58960   84e55480 85aae850 85ab18e0 85b17680
83b58970
83b58980      

索引为2处(偏移为8)，即为ObpTypeObjectType,细看一下:

kd> dt _OBJECT_TYPE 84dafd80
nt!_OBJECT_TYPE
    +0x000 TypeList          : _LIST_ENTRY [ 0x84dafd58 - 0x85b17658 ]
    +0x008 Name              : _UNICODE_STRING "Type"
    +0x010 DefaultObject     : 0x83b57ba0
    +0x014 Index             : 0x2 ''
    +0x018 TotalNumberOfObjects : 0x2a
    +0x01c TotalNumberOfHandles :
    +0x020 HighWaterNumberOfObjects : 0x2a
    +0x024 HighWaterNumberOfHandles :
    +0x028 TypeInfo          : _OBJECT_TYPE_INITIALIZER
    +0x078 TypeLock          : _EX_PUSH_LOCK
    +0x07c Key               : 0x546a624f
    +0x080 CallbackList      : _LIST_ENTRY [ 0x84dafe00 - 0x84dafe00 ]

可以看到TotalNumberOfObjects为0x2a，即42，这与上面的结果是一致的。

同以前的系统一样在，_OBJECT_TYPE->TotalNumberOfObjects指明了某种类型的对象共有多少个，而ObpTypeObjectType作为对象类型的类型，它的TotalNumberOfObjects实际上便是系统中所有ObjectType的个数。要想获取所有的ObjectType，你可以简单地直接遍历这个表来实现。至于表的地址，可以反汇编导出函数ObGetObjectType来得到，有过从PsLookupProcessByProcessId中取PspCidTable地址经历的人搞这个会很容易。由于ObpTypeObjectType的索引固定为2,所以可以使用_ObTypeIndexTable[2]->TotalNumberOfObjects获取到所有对象类型的个数，然后遍历即可。或者，使用TypeIndex从2开始一直遍历到ObTypeIndexTable[TypeIndex]为零止。

另外，要进行上述观察，注意使用新版的Windbg，我一直使用的6.9版Windbg无法识别Win7下的对象~~
下一篇说说Win7的可变对象头的变化，即InfoMask的作用~~