en-US/about_NtObjectManagerProvider.help.txt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
TOPIC
about_NtObjectManagerProvider

SHORT DESCRIPTION
The NtObjectManager Module includes a PS drive provider to inspect and manipulate the object 
manager namespace.

LONG DESCRIPTION
Under the hood of the Win32 API is the NT Object Manager which acts similar to a filesystem.
This is normally hidden from view and requires specialist tools such as WinObj to inspect it.
This NtObjectManager Module comes with a PS drive provider which allows you to enumerate entries
and modify certain properties in the name space.

By default two new drives will be created, NtObject: which can be used to access the root namespace,
and SessionNtObject: which points to the current user session's BaseNamedObjects directory. It's
also possible to add other drives with different roots if needed. The root name for the drive provider
is nt:\path. 

Accessing the namespace works just like other PS driver providers. You can use Get-ChildItems to 
enumerate items Get-Item to get an individual object. Get/Set-Acl and wildcards are also supported.
The items returned are directory entries which contain basic information such as the name,
type name and security descriptor of the object. To get a handle to the object to work with you
must call the ToObject method. Ensure you call the Close method after you've finished with the handle to prevent a leak. As an additional feature it's possible to map Private Namespaces assuming you known the boundary
descriptor required. The format of the drive root name must be of the form:
ntpriv:[SID[:SID]@]NAME
SIDs are optional and can are specified in SDDL format (either S-X-X-X or short forms such as BA).

New-Item is supported for a limited number of object types, Event, Directory, SymbolicLink (link),
Mutant and Semaphore. You need to specify the type using the -ItemType parameter, and for reasons
for symbolic links you need to use the name link otherwise it will fail. SymbolicLink and Semaphore
take an additional Value, the link target for the former and the maximum semaphore count for the latter.
Also note that the return value of New-Item is a handle to the underlying object (like you would get from
calling ToObject on a directory entry). This is because without a handle reference by default the 
kernel will delete the named object. 

EXAMPLES
Example 1: List child items of object manager namespace root.
Get-ChildItem NtObject:\

Example 2: List maximum allowed access for objects.
Get-ChildItem NtObject:\Dir | Select-Object Name,MaximumGrantedAccess

Example 3: List symbolic links in a directory and print their targets.
Get-ChildItem NtObject:\Dir | Where-Object IsSymbolicLink -eq $True | Select-Object Name,SymbolicLinkTarget

Example 4: Get an event object and Set it.
$event = Get-Item SessionNtObject:\Eventname
$event_obj = $event.ToObject()
$event_obj.Set()
$event_obj.Close()

Example 5: Create a new directory ABC in the user's base named objects. $obj = New-Item SessionNtObject:\ABC -ItemType Directory # Do something with directory. # ... $obj.Close() Example 6: Create a new symbolic link ABC in the user's base named objects pointer to \BaseNamedObjects
$obj = New-Item SessionNtObject:\ABC -ItemType Link -Value \BaseNamedObjects
# Do something
# ...
$obj.Close()

Example 7: Create a new event ABC in the user's base named objects $obj = New-Item SessionNtObject:\ABC -ItemType Event # Do something # ... $obj.Close() Example 8: Create a new semaphore ABC in the user's base named objects with max count of 10
$obj = New-Item SessionNtObject:\ABC -ItemType Semaphore -Value 10
# Do something
# ...
$obj.Close()

Example 9: Create a new mutant ABC in the user's base named objects $obj = New-Item SessionNtObject:\ABC -ItemType Mutant # Do something # ... $obj.Close() Example 10: Mount an existing global directory. New-PSDrive -PSProvider ObjectManager -Name BNO -Root nt:BaseNamedObjects Example 11: Mount an existing private namespace, with name ABC and SIDs Everyone and Low Mandatory Level. New-PSDrive -PSProvider ObjectManager -Name PrivNS -Root ntpriv:WD:LW@ABC KEYWORDS Objects, ObjectManager.