原文地址:http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx
最近在看《windows核心編程》,上面簡單的提及瞭如何使用WinObj查看當前系統中的內核對象。我在網上找到了WinObj的介紹,翻譯出來一下,翻譯的不好,請各位多多指教。
1、介紹
WinObj是關注安全的系統管理員必備的工具,它也可以幫助程序開發人員解決內核對象相關的bug,通過WinObj我們可以輕鬆的查看系統當前的內核對象以及命名空間。
WinObj 是一個 32 位的 Windows 內核程序,它使用本機 Windows 內核API(由 NTDLL.DLL 提供)來訪問和顯示有關 內核對象管理器命名空間的信息。Winobj 似乎類似於 Microsoft SDK 的同名程序,但 是SDK 版本存在許多重大的程序錯誤,這些錯誤會妨礙它顯示準確的信息(例如,其句柄和引用計數信息被完全中斷)。此外,我們的 WinObj 支持的對象類型更多。最後,2.0 版本的 WinObj 在用戶界面方面有所增強,它知道如何打開設備對象,並允許您使用本機 NT 安全編輯器查看和更改對象安全信息。
2、運行方式
WinObj 不需要任何設備驅動程序組件,可以像任何 Win32 程序一樣運行。從上述網址下載的程序可以直接運行不需要安裝。
更多的方法,需要繼續摸索實踐,待續。