获取文件占用进程信息

最新推荐文章于 2023-08-10 22:11:28 发布
最新推荐文章于 2023-08-10 22:11:28 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: C/C++ 
 
 

  
  转自http://blog.csdn.net/linuxsmallping/article/details/51732956
 
 

 
 

  
  

 
 

 
 

  
  #pragma once
 
 

 
 


 
 

 
 

  
  #include <stdio.h>
 
 

 
 

  
  #include <tchar.h>
 
 

 
 

  
  #include <windows.h>
 
 

 
 

  
  #include <atlbase.h>
 
 

 
 

  
  #include <shlwapi.h>
 
 

 
 


 
 

 
 

  
  #include <vector>
 
 

 
 

  
  #include <map>
 
 

 
 

  
  using 
  
  namespace 
  
  std
  
  ;
 
 

 
 


 
 

 
 

  
  #include <string>
 
 

 
 

  
  typedef 
  
  std
  
  ::
  
  basic_string
  
  <
  
  TCHAR
  
  , 
  
  std
  
  ::
  
  char_traits
  
  <
  
  TCHAR
  
  >
  
  , 
  
  std
  
  ::
  
  allocator
  
  <
  
  TCHAR
  
  >> 
  
  tstring
  
  ;
 
 

 
 


 
 

 
 

  
  #include <winternl.h>
 
 

 
 


 
 

 
 

  
  #include <psapi.h>
 
 

 
 

  
  #pragma comment(lib, "psapi.lib")
 
 

 
 


 
 

 
 

  
  #define NT_SUCCESS(status)					(status == (NTSTATUS)0x00000000L)
 
 

 
 

  
  #define STATUS_INFO_LENGTH_MISMATCH			((NTSTATUS)0xC0000004L)
 
 

 
 

  
  #define STATUS_BUFFER_OVERFLOW				((NTSTATUS)0x80000005L)
 
 

 
 

  
  #define SystemHandleInformation				((SYSTEM_INFORMATION_CLASS)16)
 
 

 
 


 
 

 
 

  
  // NTQUERYOBJECT
 
 

 
 

  
  typedef 
  
  struct 
  
  _OBJECT_NAME_INFORMATION 
  
  {
 
 

 
 
	
  
  UNICODE_STRING 
  
  Name
  
  ;
 
 

 
 
	
  
  WCHAR 
  
  NameBuffer
  
  [
  
  1
  
  ];
 
 

 
 

  
  } 
  
  OBJECT_NAME_INFORMATION
  
  , 
  
  *
  
  POBJECT_NAME_INFORMATION
  
  ;
 
 

 
 


 
 

 
 

  
  typedef 
  
  enum 
  
  _OBJECT_INFORMATION_CLASS 
  
  {
 
 

 
 
	
  
  ObjectBasicInformation
  
  ,
 
 

 
 
	
  
  ObjectNameInformation
  
  ,
 
 

 
 
	
  
  ObjectTypeInformation
  
  ,
 
 

 
 
	
  
  ObjectAllInformation
  
  ,
 
 

 
 
	
  
  ObjectDataInformation
 
 

 
 

  
  } 
  
  OBJECT_INFORMATION_CLASS
  
  , 
  
  *
  
  POBJECT_INFORMATION_CLASS
  
  ;
 
 

 
 


 
 

 
 

  
  typedef 
  
  NTSTATUS 
  
  (
  
  WINAPI 
  
  *
  
  NTQUERYOBJECT
  
  )(
 
 

 
 
	
  
  _In_opt_ 
  
  HANDLE 
  
  Handle
  
  ,
 
 

 
 
	
  
  _In_ 
  
  OBJECT_INFORMATION_CLASS 
  
  ObjectInformationClass
  
  ,
 
 

 
 
	
  
  _Out_opt_ 
  
  PVOID 
  
  ObjectInformation
  
  ,
 
 

 
 
	
  
  _In_ 
  
  ULONG 
  
  ObjectInformationLength
  
  ,
 
 

 
 
	
  
  _Out_opt_ 
  
  PULONG 
  
  ReturnLength
  
  );
 
 

 
 


 
 

 
 

  
  // NTQUERYSYSTEMINFORMATION
 
 

 
 

  
  typedef 
  
  struct 
  
  _SYSTEM_HANDLE 
  
  {
 
 

 
 
	
  
  DWORD 
  
  dwProcessId
  
  ;
 
 

 
 
	
  
  BYTE 
  
  bObjectType
  
  ;
 
 

 
 
	
  
  BYTE 
  
  bFlags
  
  ;
 
 

 
 
	
  
  WORD 
  
  wValue
  
  ;
 
 

 
 
	
  
  PVOID 
  
  pAddress
  
  ;
 
 

 
 
	
  
  DWORD 
  
  GrantedAccess
  
  ;
 
 

 
 

  
  } 
  
  SYSTEM_HANDLE
  
  , 
  
  *
  
  PSYSTEM_HANDLE
  
  ;
 
 

 
 


 
 

 
 

  
  typedef 
  
  struct 
  
  _SYSTEM_HANDLE_INFORMATION 
  
  {
 
 

 
 
	
  
  DWORD 
  
  dwCount
  
  ;
 
 

 
 
	
  
  SYSTEM_HANDLE 
  
  Handles
  
  [
  
  1
  
  ];
 
 

 
 

  
  } 
  
  SYSTEM_HANDLE_INFORMATION
  
  , 
  
  *
  
  PSYSTEM_HANDLE_INFORMATION
  
  ;
 
 

 
 


 
 

 
 

  
  typedef 
  
  NTSTATUS 
  
  (
  
  WINAPI 
  
  *
  
  NTQUERYSYSTEMINFORMATION
  
  )(
 
 

 
 
	
  
  IN 
  
  SYSTEM_INFORMATION_CLASS 
  
  SystemInformationClass
  
  ,
 
 

 
 
	
  
  OUT 
  
  PVOID 
  
  SystemInformation
  
  ,
 
 

 
 
	
  
  IN 
  
  ULONG 
  
  SystemInformationLength
  
  ,
 
 

 
 
	
  
  OUT 
  
  PULONG 
  
  ReturnLength 
  
  OPTIONAL
  
  );
 
 

 
 


 
 

 
 

  
  //
 
 

 
 

  
  // NtQueryInformationFile
 
 

 
 

  
  //
 
 

 
 

  
  #define FileNameInformation					((FILE_INFORMATION_CLASS)9)
 
 

 
 


 
 

 
 

  
  // typedef struct _FILE_NAME_INFORMATION {
 
 

 
 

  
  // 	ULONG FileNameLength;
 
 

 
 

  
  // 	WCHAR FileName[1];
 
 

 
 

  
  // } FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION;
 
 

 
 


 
 

 
 

  
  typedef 
  
  NTSTATUS 
  
  (
  
  WINAPI 
  
  *
  
  NTQUERYINFORMATIONFILE
  
  )(
 
 

 
 
	
  
  IN 
  
  HANDLE 
  
  FileHandle
  
  ,
 
 

 
 
	
  
  OUT 
  
  PIO_STATUS_BLOCK 
  
  IoStatusBlock
  
  ,
 
 

 
 
	
  
  OUT 
  
  PVOID 
  
  FileInformation
  
  ,
 
 

 
 
	
  
  IN 
  
  ULONG 
  
  Length
  
  ,
 
 

 
 
	
  
  IN 
  
  FILE_INFORMATION_CLASS 
  
  FileInformationClass
  
  );
 
 

 
 


 
 

 
 

  
  // typedef struct _CLIENT_ID {
 
 

 
 

  
  // 	HANDLE UniqueProcess;
 
 

 
 

  
  // 	HANDLE UniqueThread;
 
 

 
 

  
  // } CLIENT_ID, *PCLIENT_ID;
 
 

 
 


 
 

 
 

  
  // ncScopedHandle
 
 

 
 

  
  class 
  
  ncScopedHandle
 
 

 
 

  
  {
 
 

 
 
	
  
  ncScopedHandle
  
  (
  
  const 
  
  ncScopedHandle
  
  &
  
  );
 
 

 
 
	
  
  ncScopedHandle
  
  & 
  
  operator
  
  =
  
  (
  
  const 
  
  ncScopedHandle
  
  &
  
  );
 
 

 
 

  
  public:
 
 

 
 
	
  
  ncScopedHandle
  
  (
  
  HANDLE 
  
  handle
  
  )
 
 

 
 
		
  
  : 
  
  _handle
  
  (
  
  handle
  
  )
 
 

 
 
	
  
  {
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  ~
  
  ncScopedHandle
  
  ()
 
 

 
 
	
  
  {
 
 

 
 
		
  
  if 
  
  (
  
  _handle 
  
  != 
  
  NULL
  
  ) 
  
  {
 
 

 
 
			
  
  CloseHandle
  
  (
  
  _handle
  
  );
 
 

 
 
		
  
  }
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  operator 
  
  HANDLE
  
  () 
  
  const 
 
 

 
 
	
  
  {
 
 

 
 
		
  
  return 
  
  _handle
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  PHANDLE  
  
  operator
  
  & 
  
  () 
 
 

 
 
	
  
  {
 
 

 
 
		
  
  return 
  
  &
  
  _handle
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  void 
  
  operator
  
  =
  
  (
  
  HANDLE 
  
  handle
  
  )
 
 

 
 
	
  
  {
 
 

 
 
		
  
  if 
  
  (
  
  _handle 
  
  != 
  
  NULL
  
  ) 
  
  {
 
 

 
 
			
  
  CloseHandle
  
  (
  
  _handle
  
  );
 
 

 
 
		
  
  }
 
 

 
 
		
  
  _handle 
  
  = 
  
  handle
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 

  
  private:
 
 

 
 
	
  
  HANDLE 
  
  _handle
  
  ;
 
 

 
 

  
  };
 
 

 
 


 
 

 
 

  
  // ncFileHandle
 
 

 
 

  
  struct 
  
  ncFileHandle
 
 

 
 

  
  {
 
 

 
 
	
  
  SYSTEM_HANDLE	
  
  _handle
  
  ;
 
 

 
 
	
  
  tstring			
  
  _filePath
  
  ;
 
 

 
 
	
  
  tstring			
  
  _path
  
  ;
 
 

 
 


 
 

 
 
	
  
  ncFileHandle 
  
  (
  
  SYSTEM_HANDLE 
  
  handle
  
  , 
  
  const 
  
  tstring
  
  & 
  
  filePath
  
  , 
  
  const 
  
  tstring
  
  & 
  
  path
  
  )
 
 

 
 
		
  
  : 
  
  _handle 
  
  (
  
  handle
  
  )
 
 

 
 
		
  
  , 
  
  _filePath 
  
  (
  
  filePath
  
  )
 
 

 
 
		
  
  , 
  
  _path 
  
  (
  
  path
  
  )
 
 

 
 
	
  
  {
 
 

 
 
	
  
  }
 
 

 
 

  
  };
 
 

 
 


 
 

 
 

  
  // GetDeviceDriveMap
 
 

 
 

  
  void 
  
  GetDeviceDriveMap
  
  (
  
  std
  
  ::
  
  map
  
  <
  
  tstring
  
  , 
  
  tstring
  
  >& 
  
  mapDeviceDrive
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  TCHAR 
  
  szDrives
  
  [
  
  512
  
  ];
 
 

 
 
	
  
  if 
  
  (
  
  !
  
  GetLogicalDriveStrings 
  
  (
  
  _countof
  
  (
  
  szDrives
  
  ) 
  
  - 
  
  1
  
  , 
  
  szDrives
  
  )) 
  
  {
 
 

 
 
		
  
  return
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  TCHAR
  
  * 
  
  lpDrives 
  
  = 
  
  szDrives
  
  ;
 
 

 
 
	
  
  TCHAR 
  
  szDevice
  
  [
  
  MAX_PATH
  
  ];
 
 

 
 
	
  
  TCHAR 
  
  szDrive
  
  [
  
  3
  
  ] 
  
  = 
  
  _T
  
  (
  
  " :"
  
  );
 
 

 
 
	
  
  do 
  
  {
 
 

 
 
		
  
  *
  
  szDrive 
  
  = 
  
  *
  
  lpDrives
  
  ;
 
 

 
 


 
 

 
 
		
  
  if 
  
  (
  
  QueryDosDevice 
  
  (
  
  szDrive
  
  , 
  
  szDevice
  
  , 
  
  MAX_PATH
  
  )) 
  
  {
 
 

 
 
			
  
  mapDeviceDrive
  
  [
  
  szDevice
  
  ] 
  
  = 
  
  szDrive
  
  ;
 
 

 
 
		
  
  }
 
 

 
 
		
  
  while 
  
  (
  
  *
  
  lpDrives
  
  ++
  
  );
 
 

 
 
	
  
  }
 
 

 
 
	
  
  while 
  
  (
  
  *
  
  lpDrives
  
  );
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // DevicePathToDrivePath
 
 

 
 

  
  BOOL 
  
  DevicePathToDrivePath 
  
  (
  
  tstring
  
  & 
  
  path
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  static 
  
  std
  
  ::
  
  map
  
  <
  
  tstring
  
  , 
  
  tstring
  
  > 
  
  mapDeviceDrive
  
  ;
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  mapDeviceDrive
  
  .
  
  empty 
  
  ()) 
  
  {
 
 

 
 
		
  
  GetDeviceDriveMap 
  
  (
  
  mapDeviceDrive
  
  );
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  for 
  
  (
  
  std
  
  ::
  
  map
  
  <
  
  tstring
  
  , 
  
  tstring
  
  >::
  
  const_iterator 
  
  it 
  
  = 
  
  mapDeviceDrive
  
  .
  
  begin 
  
  (); 
  
  it 
  
  != 
  
  mapDeviceDrive
  
  .
  
  end 
  
  (); 
  
  ++
  
  it
  
  ) 
  
  {
 
 

 
 
		
  
  size_t 
  
  nLength 
  
  = 
  
  it
  
  ->
  
  first
  
  .
  
  length 
  
  ();
 
 

 
 
		
  
  if 
  
  (
  
  _tcsnicmp 
  
  (
  
  it
  
  ->
  
  first
  
  .
  
  c_str 
  
  (), 
  
  path
  
  .
  
  c_str 
  
  (), 
  
  nLength
  
  ) 
  
  == 
  
  0
  
  ) 
  
  {
 
 

 
 
			
  
  path
  
  .
  
  replace 
  
  (
  
  0
  
  , 
  
  nLength
  
  , 
  
  it
  
  ->
  
  second
  
  );
 
 

 
 
			
  
  return 
  
  TRUE
  
  ;
 
 

 
 
		
  
  }
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  return 
  
  FALSE
  
  ;
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // GetHandlePath
 
 

 
 

  
  BOOL 
  
  GetHandlePath 
  
  (
  
  HANDLE 
  
  handle
  
  , 
  
  tstring
  
  & 
  
  path
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  static 
  
  NTQUERYOBJECT 
  
  fpNtQueryObject 
  
  = 
 
 

 
 
		
  
  (
  
  NTQUERYOBJECT
  
  )
  
  GetProcAddress 
  
  (
  
  GetModuleHandle 
  
  (
  
  _T
  
  (
  
  "ntdll"
  
  )), 
  
  "NtQueryObject"
  
  );
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  fpNtQueryObject 
  
  == 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  DWORD 
  
  dwLength 
  
  = 
  
  0
  
  ;
 
 

 
 
	
  
  OBJECT_NAME_INFORMATION 
  
  info
  
  ;
 
 

 
 
	
  
  NTSTATUS 
  
  status 
  
  = 
  
  fpNtQueryObject 
  
  (
  
  handle
  
  , 
  
  ObjectNameInformation
  
  , 
  
  &
  
  info
  
  , 
  
  sizeof 
  
  (
  
  info
  
  ), 
  
  &
  
  dwLength
  
  );
 
 

 
 
	
  
  if 
  
  (
  
  status 
  
  != 
  
  STATUS_BUFFER_OVERFLOW
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  POBJECT_NAME_INFORMATION 
  
  pInfo 
  
  = 
  
  (
  
  POBJECT_NAME_INFORMATION
  
  )
  
  malloc
  
  (
  
  dwLength
  
  );
 
 

 
 
	
  
  while 
  
  (
  
  true
  
  ) 
  
  {
 
 

 
 
		
  
  status 
  
  = 
  
  fpNtQueryObject 
  
  (
  
  handle
  
  , 
  
  ObjectNameInformation
  
  , 
  
  pInfo
  
  , 
  
  dwLength
  
  , 
  
  &
  
  dwLength
  
  );
 
 

 
 
		
  
  if 
  
  (
  
  status 
  
  != 
  
  STATUS_BUFFER_OVERFLOW
  
  ) 
  
  {
 
 

 
 
			
  
  break
  
  ;
 
 

 
 
		
  
  }
 
 

 
 
		
  
  pInfo 
  
  = 
  
  (
  
  POBJECT_NAME_INFORMATION
  
  )
  
  realloc
  
  (
  
  pInfo
  
  , 
  
  dwLength
  
  );
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  BOOL 
  
  bRes 
  
  = 
  
  FALSE
  
  ;
 
 

 
 
	
  
  if 
  
  (
  
  NT_SUCCESS
  
  (
  
  status
  
  )) 
  
  {
 
 

 
 
		
  
  path 
  
  = 
  
  pInfo
  
  ->
  
  Name
  
  .
  
  Buffer
  
  ;
 
 

 
 
		
  
  bRes 
  
  = 
  
  DevicePathToDrivePath
  
  (
  
  path
  
  );
 
 

 
 
	
  
  }
 
 

 
 
	
  
  free
  
  (
  
  pInfo
  
  );
 
 

 
 
	
  
  return 
  
  bRes
  
  ;
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // GetSystemHandleInfo
 
 

 
 

  
  PSYSTEM_HANDLE_INFORMATION 
  
  GetSystemHandleInfo 
  
  ()
 
 

 
 

  
  {
 
 

 
 
	
  
  static 
  
  NTQUERYSYSTEMINFORMATION 
  
  fpNtQuerySystemInformation 
  
  = 
 
 

 
 
		
  
  (
  
  NTQUERYSYSTEMINFORMATION
  
  )
  
  GetProcAddress 
  
  (
  
  GetModuleHandle 
  
  (
  
  _T
  
  (
  
  "ntdll"
  
  )), 
  
  "NtQuerySystemInformation"
  
  );
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  fpNtQuerySystemInformation 
  
  == 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  NULL
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  DWORD 
  
  dwLength 
  
  = 
  
  0
  
  ;
 
 

 
 
	
  
  SYSTEM_HANDLE_INFORMATION 
  
  shi
  
  ;
 
 

 
 
	
  
  NTSTATUS 
  
  status 
  
  = 
  
  fpNtQuerySystemInformation 
  
  (
  
  SystemHandleInformation
  
  , 
  
  &
  
  shi
  
  , 
  
  sizeof 
  
  (
  
  shi
  
  ), 
  
  &
  
  dwLength
  
  );
 
 

 
 
	
  
  if 
  
  (
  
  status 
  
  != 
  
  STATUS_INFO_LENGTH_MISMATCH
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  NULL
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  PSYSTEM_HANDLE_INFORMATION 
  
  pshi 
  
  = 
  
  (
  
  PSYSTEM_HANDLE_INFORMATION
  
  )
  
  malloc
  
  (
  
  dwLength
  
  );
 
 

 
 
	
  
  while 
  
  (
  
  true
  
  ) 
  
  {
 
 

 
 
		
  
  status 
  
  = 
  
  fpNtQuerySystemInformation 
  
  (
  
  SystemHandleInformation
  
  , 
  
  pshi
  
  , 
  
  dwLength
  
  , 
  
  &
  
  dwLength
  
  );
 
 

 
 
		
  
  if 
  
  (
  
  status 
  
  != 
  
  STATUS_INFO_LENGTH_MISMATCH
  
  ) 
  
  {
 
 

 
 
			
  
  break
  
  ;
 
 

 
 
		
  
  }
 
 

 
 
		
  
  pshi 
  
  = 
  
  (
  
  PSYSTEM_HANDLE_INFORMATION
  
  )
  
  realloc
  
  (
  
  pshi
  
  , 
  
  dwLength
  
  );
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  !
  
  NT_SUCCESS 
  
  (
  
  status
  
  )) 
  
  {
 
 

 
 
		
  
  free 
  
  (
  
  pshi
  
  );
 
 

 
 
		
  
  pshi 
  
  = 
  
  NULL
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  return 
  
  pshi
  
  ;
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  //
 
 

 
 

  
  // 检测指定句柄是否可能导致NtQueryObject卡死:
 
 

 
 

  
  //     1.注意必须使用NtQueryInformationFile而不是NtQueryObject进行检测,否则可能导致WinXP系统
 
 

 
 

  
  //       下进程死锁而无法结束。
 
 

 
 

  
  //
 
 

 
 

  
  void 
  
  CheckBlockThreadFunc 
  
  (
  
  void
  
  * 
  
  param
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  static 
  
  NTQUERYINFORMATIONFILE 
  
  fpNtQueryInformationFile 
  
  = 
 
 

 
 
		
  
  (
  
  NTQUERYINFORMATIONFILE
  
  )
  
  GetProcAddress 
  
  (
  
  GetModuleHandle 
  
  (
  
  _T
  
  (
  
  "ntdll"
  
  )), 
  
  "NtQueryInformationFile"
  
  );
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  fpNtQueryInformationFile 
  
  != 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  BYTE 
  
  buf
  
  [
  
  1024
  
  ];
 
 

 
 
		
  
  IO_STATUS_BLOCK 
  
  ioStatus
  
  ;
 
 

 
 
		
  
  fpNtQueryInformationFile 
  
  ((
  
  HANDLE
  
  )
  
  param
  
  , 
  
  &
  
  ioStatus
  
  , 
  
  buf
  
  , 
  
  1024
  
  , 
  
  FileNameInformation
  
  );
 
 

 
 
	
  
  }
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // IsBlockingHandle
 
 

 
 

  
  BOOL 
  
  IsBlockingHandle 
  
  (
  
  HANDLE 
  
  handle
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  HANDLE 
  
  hThread 
  
  = 
  
  (
  
  HANDLE
  
  )
  
  _beginthread
  
  (
  
  CheckBlockThreadFunc
  
  , 
  
  0
  
  , 
  
  (
  
  void
  
  *
  
  )
  
  handle
  
  );
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  WaitForSingleObject 
  
  (
  
  hThread
  
  , 
  
  100
  
  ) 
  
  != 
  
  WAIT_TIMEOUT
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  TerminateThread 
  
  (
  
  hThread
  
  , 
  
  0
  
  );
 
 

 
 
	
  
  return 
  
  TRUE
  
  ;
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // FindFileHandle
 
 

 
 

  
  BOOL 
  
  FindFileHandle 
  
  (
  
  LPCTSTR 
  
  lpName
  
  , 
  
  vector
  
  <
  
  ncFileHandle
  
  >& 
  
  handles
  
  )
 
 

 
 

  
  {
 
 

 
 
	
  
  handles
  
  .
  
  clear 
  
  ();
 
 

 
 


 
 

 
 
	
  
  if 
  
  (
  
  lpName 
  
  == 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  // 打开“NUL”文件以便后续获取文件句柄类型值。
 
 

 
 
	
  
  ncScopedHandle 
  
  hTempFile 
  
  = 
  
  CreateFile 
  
  (
  
  _T
  
  (
  
  "NUL"
  
  ), 
  
  GENERIC_READ
  
  , 
  
  0
  
  , 
  
  NULL
  
  , 
  
  OPEN_EXISTING
  
  , 
  
  0
  
  , 
  
  0
  
  );
 
 

 
 
	
  
  if 
  
  (
  
  hTempFile 
  
  == 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  // 获取当前系统中所有的句柄信息。
 
 

 
 
	
  
  PSYSTEM_HANDLE_INFORMATION 
  
  pshi 
  
  = 
  
  GetSystemHandleInfo 
  
  ();
 
 

 
 
	
  
  if 
  
  (
  
  pshi 
  
  == 
  
  NULL
  
  ) 
  
  {
 
 

 
 
		
  
  return 
  
  FALSE
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  // 查询当前系统的文件句柄类型值。
 
 

 
 
	
  
  BYTE 
  
  nFileType 
  
  = 
  
  0
  
  ;
 
 

 
 
	
  
  DWORD 
  
  dwCrtPid 
  
  = 
  
  GetCurrentProcessId 
  
  ();
 
 

 
 
	
  
  for 
  
  (
  
  DWORD 
  
  i 
  
  = 
  
  0
  
  ; 
  
  i 
  
  < 
  
  pshi
  
  ->
  
  dwCount
  
  ; 
  
  ++
  
  i
  
  ) 
  
  {
 
 

 
 
		
  
  if 
  
  (
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  dwProcessId 
  
  == 
  
  dwCrtPid 
  
  && 
  
  hTempFile 
  
  == 
  
  (
  
  HANDLE
  
  )
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  wValue
  
  ) 
  
  {
 
 

 
 
			
  
  nFileType 
  
  = 
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  bObjectType
  
  ;
 
 

 
 
			
  
  break
  
  ;
 
 

 
 
		
  
  }
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  HANDLE 
  
  hCrtProc 
  
  = 
  
  GetCurrentProcess 
  
  ();
 
 

 
 
	
  
  for 
  
  (
  
  DWORD 
  
  i 
  
  = 
  
  0
  
  ; 
  
  i 
  
  < 
  
  pshi
  
  ->
  
  dwCount
  
  ; 
  
  ++
  
  i
  
  ) 
  
  {
 
 

 
 
		
  
  // 过滤掉非文件类型的句柄。
 
 

 
 
		
  
  if 
  
  (
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  bObjectType 
  
  != 
  
  nFileType
  
  ) 
  
  {
 
 

 
 
			
  
  continue
  
  ;
 
 

 
 
		
  
  }
 
 

 
 


 
 

 
 
		
  
  // 将上述句柄复制到当前进程中。
 
 

 
 
		
  
  ncScopedHandle 
  
  handle 
  
  = 
  
  NULL
  
  ;
 
 

 
 
		
  
  ncScopedHandle 
  
  hProc 
  
  = 
  
  OpenProcess 
  
  (
  
  PROCESS_DUP_HANDLE
  
  , 
  
  FALSE
  
  , 
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  dwProcessId
  
  );
 
 

 
 
		
  
  if 
  
  (
  
  hProc 
  
  == 
  
  NULL 
  
  || 
  
  !
  
  DuplicateHandle 
  
  (
  
  hProc
  
  , 
  
  (
  
  HANDLE
  
  )
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  wValue
  
  , 
  
  hCrtProc
  
  , 
  
  &
  
  handle
  
  , 
  
  0
  
  , 
  
  FALSE
  
  , 
  
  DUPLICATE_SAME_ACCESS
  
  )) 
  
  {
 
 

 
 
			
  
  continue
  
  ;
 
 

 
 
		
  
  }
 
 

 
 


 
 

 
 
		
  
  // 过滤掉会导致NtQueryObject卡死的句柄(如管道等)。
 
 

 
 
		
  
  if 
  
  (
  
  IsBlockingHandle 
  
  (
  
  handle
  
  )) 
  
  {
 
 

 
 
			
  
  continue
  
  ;
 
 

 
 
		
  
  }
 
 

 
 


 
 

 
 
		
  
  // 获取句柄对应的文件路径并进行匹配检查。
 
 

 
 
		
  
  tstring 
  
  filePath
  
  ;
 
 

 
 
		
  
  if 
  
  (
  
  GetHandlePath 
  
  (
  
  handle
  
  , 
  
  filePath
  
  ) 
  
  && 
  
  filePath
  
  .
  
  find 
  
  (
  
  lpName
  
  ) 
  
  != 
  
  tstring
  
  ::
  
  npos
  
  ) 
  
  {
 
 

 
 
			
  
  ncScopedHandle 
  
  hProcess 
  
  = 
  
  OpenProcess
  
  (
  
  MAXIMUM_ALLOWED
  
  , 
  
  FALSE
  
  , 
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ].
  
  dwProcessId
  
  );
 
 

 
 


 
 

 
 
			
  
  TCHAR 
  
  szProcName
  
  [
  
  MAX_PATH
  
  ];
 
 

 
 
			
  
  GetProcessImageFileName 
  
  (
  
  hProcess
  
  , 
  
  szProcName
  
  , 
  
  MAX_PATH
  
  );
 
 

 
 
			
  
  tstring 
  
  path 
  
  (
  
  szProcName
  
  );
 
 

 
 
			
  
  DevicePathToDrivePath
  
  (
  
  path
  
  );
 
 

 
 
			
  
  ncFileHandle 
  
  fh 
  
  (
  
  pshi
  
  ->
  
  Handles
  
  [
  
  i
  
  ], 
  
  filePath
  
  , 
  
  path
  
  );
 
 

 
 
			
  
  handles
  
  .
  
  push_back 
  
  (
  
  fh
  
  );
 
 

 
 
		
  
  }
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  free
  
  (
  
  pshi
  
  );
 
 

 
 
	
  
  return 
  
  TRUE
  
  ;
 
 

 
 

  
  }
 
 

 
 


 
 

 
 

  
  // BOOL CloseHandleEx (HANDLE handle, DWORD dwPid)
 
 

 
 

  
  // {
 
 

 
 

  
  // 	if (GetCurrentProcessId () == dwPid)
 
 

 
 

  
  // 		return CloseHandle (handle);
 
 

 
 

  
  // 
 
 

 
 

  
  // 	ncScopedHandle hProcess = OpenProcess (PROCESS_DUP_HANDLE, FALSE, dwPid);
 
 

 
 

  
  // 	if (hProcess == NULL)
 
 

 
 

  
  // 		return FALSE;
 
 

 
 

  
  // 
 
 

 
 

  
  // 	return DuplicateHandle (hProcess, handle, GetCurrentProcess (), NULL, 0, FALSE, DUPLICATE_CLOSE_SOURCE);
 
 

 
 

  
  // }
 
 

 
 


 
 

 
 

  
  // main
 
 

 
 

  
  int 
  
  _tmain
  
  (
  
  int 
  
  argc
  
  , 
  
  _TCHAR
  
  * 
  
  argv
  
  [])
 
 

 
 

  
  {
 
 

 
 
	
  
  tstring 
  
  path 
  
  (
  
  _T
  
  (
  
  "E:
  
  \\
  
  TDDOWNLOAD
  
  \\
  
  "
  
  ));
 
 

 
 
	
  
  vector
  
  <
  
  ncFileHandle
  
  > 
  
  vecHandles
  
  ;
 
 

 
 
	
  
  if 
  
  (
  
  !
  
  FindFileHandle
  
  (
  
  path
  
  .
  
  c_str
  
  (), 
  
  vecHandles
  
  )) 
  
  {
 
 

 
 
		
  
  return 
  
  -
  
  1
  
  ;
 
 

 
 
	
  
  }
 
 

 
 


 
 

 
 
	
  
  return 
  
  0
  
  ;
 
 

 
 

  
  }
畅游竹海
关注
专栏目录
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件占用,具有学习和商业价值(By超级用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄来获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状态。可能的错误状态码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这种方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6210
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
查看文件占用进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4448
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2149
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
NtQueryObject 函数
93Storm
04-25 4170
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
C#实现读取被进程占用文件实现方法
09-03
在C#编程中,有时我们需要读取或处理一个正被其他进程占用文件。这种情况常见于对日志文件的操作,因为日志文件经常会被应用程序写入新的日志记录。当尝试访问这些文件时,可能会遇到“文件正由另一进程使用,因此...
C#获取系统进程信息
01-03
在C#中,我们可以利用Windows API或者.NET Framework提供的类库来获取系统的进程信息。本示例代码旨在帮助初学者理解如何通过C#来实现这一功能。 首先,我们需要引入`System.Diagnostics`命名空间,这个命名空间...
WPF 获取是哪个进程占用文件.rar
最新发布
06-03
3. **获取占用进程信息**:使用`OpenProcess` API函数,根据上一步得到的错误代码获取占用文件进程ID,并打开相应的进程获取其详细信息。 4. **遍历进程**:使用`EnumProcessModules`和`GetModuleBaseName`来...
易语言获取系统进程信息
07-15
在“易语言获取系统进程信息”这个主题中,我们将深入探讨如何使用易语言来获取并管理计算机的系统进程。 首先,我们要了解什么是系统进程。在操作系统中,进程是程序执行时的一个实例,每个进程都有独立的内存空间...
Python使用psutil获取进程信息的例子
09-18
获取进程信息,首先需要导入`psutil`模块。以下是一个简单的例子: ```python import psutil # 获取指定PID的进程 p = psutil.Process(27050) # 输出进程的基本信息 print(p) ``` `Process`对象提供了多种方法...
列举进程进程打开的文件
01-04
DuplicateHandle NtQueryObject NtQuerySystemInformation EnumProcesses 知道的就不多说了,不知道的就不需说了
通过对象名(ObjectName)匹配,确定所属的进程
pureman_mega的博客
08-30 940
大概流程: 首先通过ZwQuerySystemInformation(SystemHandleInformation,*,*)获取句柄信息,然后根据句柄调用ZwQueryObject(*,ObjectNameInformation,*)获取对象名信息,最后匹配确定目标。示例是确定“\\Windows\\ApiPort"所属的进程。 需要注意的是用有的句柄调用ZwQueryObject会返回ST...
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1224
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
使用NtQueryInformationFile函数获得不到完整路径
weixin_33729196的博客
01-22 378
#include <windows.h> #include <iostream> using namespace std; typedef struct _OBJECT_NAME_INFORMATION { WORD Length; WORD MaximumLength; LPWSTR Buffer; } OBJECT_NAME...
WhoUseMe 驱动实现
商少
07-30 681
前面写过一个应用层的查找谁占用了我们的文件的程序WhoUseMe http://blog.csdn.net/qq_18218335/article/details/62884657 从文中截图可以看出来,普通的应用层程序虽然可以达到枚举句柄的目的,但是对于一部分具有特殊权限的文件及端口句柄来说,调用NtQueryObject函数可能导致线程挂起,对此我们的解决办法是让一个单独的线程执行N
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1571
之所以产生这个想法,是在删除文件的时候有时会提示文件占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
利用NtDuplicateObject进行Dump
二狗的博客
08-10 519
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
mfc 获取进程cpu占用
08-22
获取进程的CPU占用信息后,可以将其显示在应用程序的界面上或保存到文件中。 需要注意的是,MFC只提供了便捷的类库,用于访问性能计数器等系统资源,具体的操作和算法需要根据实际需求而定。 总结起来,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值