1.一種從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，其特征在于，通過以下步驟來實現：

a).查找非系統進程，采用遍歷進程鏈表的方式，當進程的id≠0且id≠4時，則該進程為非系統進程，并獲取其進程結構體變量_Eprocess；

b).獲取對象句柄表的值，根據步驟a)中的進程結構體變量_Eprocess獲取結構體中的對象句柄表ObjectTable變量的值；

c).獲取對象句柄表的位置，根據對象句柄表ObjectTable值的最后一個字節確定對象句柄表的級數，并確定出對象句柄表在內存鏡像文件中的位置；

d).獲取對象頭指針的地址，根據步驟c)中確定的對象句柄表的位置，遍歷對象句柄表，分析對象句柄表表項結構，獲取對象頭指針ObjectHeader的地址；

e).獲取對象類型，根據步驟d)中獲取的對象頭指針ObjectHeader的地址，獲取對象的類型；

f).對象類型的判斷，判斷步驟e)中所獲取的對象類型，對于對象類型不是File和IoCompletion的對象，獲取其nameInfo結構體；

g).獲取對象名稱及類型，根據步驟f)中所獲取的nameInfo結構體，遍歷對象鏈表，獲取鏈表中對象的名稱及類型。

2.根據權利要求1所述的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，其特征在于：步驟c)所述的獲取對象句柄表位置的方法為：首先，根據_Eprocess進程結構體的內容，獲取對象句柄表ObjectTable的地址，并獲取對象句柄表ObjectTable；然后，分析進程句柄表的結構“_handle_table”，獲取其中“TableCode”變量的值，這個值的低2位記錄著對象句柄表的級數；

如果低2位的值為0，說明句柄表只有一級，此時“TableCode”變量的值就是對象句柄表的地址，句柄表是由所有內核對象指針組成的表；如果低2位的值為1，說明句柄表有兩級，“TableCode”變量的值指向第一級句柄表，第一級句柄表里存儲指向第二級句柄表的指針，第二級句柄表才是所有內核對象指針組成的表。

3.根據權利要求2所述的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，其特征在于：步驟d)中所述的對象頭指針的地址通過公式（1）進行求取：

ObjectHeaderVal= (((HandleTableEntryVa>>20)&0xFFFFFFFFFFF)<<4) + 0xFFFF000000000000； （1）

其中，ObjectHeaderVal表示對象頭指針的地址，HandleTableEntryVa為對象指針位數ObjectPointerBits變量所在句柄表項的值，對象指針位數ObjectPointerBits的定義為占用表項中以bit20開始的44位。

4.根據權利要求1或2所述的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，其特征在于，步驟e)中所述的獲取對象類型通過以下步驟來實現：

e-1).獲取_object_header結構體中類型索引變量typeindex的值，設其值為typeindexFrom0bj；

e-2).獲取_object_header結構體對應類型索引值的變體，設其值為typeindexFromHeader；

e-3).獲取內核變量ObHeaderCookie的值，將其指向地址的第一個字節設置為typeindexCookie；

e-4).根據公式（2）獲取對象在對象類型表中的類型索引值typeindex:

typeindex=typeindexFrom0bj^typeindexFromHeader^typeindexCookie（2）

e-5).獲取對象類型索引表的地址，根據當前分析的對象在對象類型索引表中的類型索引值typeindex，定位到對象類型表中相應位置，獲取當前分析對象的類型。