列举某进程打开的文件列表

最新推荐文章于 2022-10-25 15:23:53 发布
最新推荐文章于 2022-10-25 15:23:53 发布
阅读量817 收藏 2
点赞数
分类专栏: C++ 文章标签: c++ C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfy_yinwenhao/article/details/8315310
版权 
  unsigned long needed;
    DWORD size;
    SYSTEM_HANDLE shandle;
    HMODULE module = LoadLibraryW(L"Ntdll.dll");
    NtQuerySystemInformation = (QuerySystemInformation)GetProcAddress(module, "NtQuerySystemInformation");
    NtQueryObject = (QueryObject)GetProcAddress(module, "NtQueryObject");
 
    BYTE *buf = new BYTE[1024*1024*10];
    size=1024*1024*10;
	
    NTSTATUS ret = NtQuerySystemInformation(16,buf,size,&needed);
    
    HANDLE process=OpenProcess(PROCESS_ALL_ACCESS,FALSE,PID);
    HANDLE temp;
   
    for (DWORD i=4;i<needed;i+=sizeof(SYSTEM_HANDLE))
    {
        CopyMemory(&shandle,buf+i,sizeof(SYSTEM_HANDLE));
        if (shandle.dwProcessId==PID)
        {
            if (DuplicateHandle(process, (HANDLE)shandle.wValue, GetCurrentProcess(), &temp, 0, FALSE, DUPLICATE_SAME_ACCESS))
            {
				char Name[1024];
				ZeroMemory(Name, sizeof(Name));

				OBJECT_NAME_INFORMATION name,*pname;
				ULONG len;

				NtQueryObject(temp,1,&name,sizeof name,&len);
				pname=reinterpret_cast<POBJECT_NAME_INFORMATION>(new char[len]);
				NtQueryObject(temp,1,pname,len,&len);
				CComBSTR str = pname->Name.Buffer;


....................................

#include <atlbase.h>
#include <comutil.h>
#include <Ntsecapi.h>
#pragma comment(lib,"comsupp.lib")

#define PID 25780

typedef struct _PUBLIC_OBJECT_BASIC_INFORMATION {
    ULONG Attributes;
    ACCESS_MASK GrantedAccess;
    ULONG HandleCount;
    ULONG PointerCount;
    ULONG Reserved[10];    // reserved for internal use
} PUBLIC_OBJECT_BASIC_INFORMATION, *PPUBLIC_OBJECT_BASIC_INFORMATION;

typedef struct __PUBLIC_OBJECT_TYPE_INFORMATION {
    UNICODE_STRING TypeName;
    ULONG Reserved [22];    // reserved for internal use
} PUBLIC_OBJECT_TYPE_INFORMATION, *PPUBLIC_OBJECT_TYPE_INFORMATION;

typedef struct _OBJECT_NAME_INFORMATION
{
    UNICODE_STRING Name;
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;


typedef struct _SYSTEM_HANDLE
{
    DWORD    dwProcessId;
    BYTE     bObjectType;
    BYTE     bFlags;
    WORD     wValue;
    PVOID    pAddress;
    DWORD    GrantedAccess;
}
SYSTEM_HANDLE;


typedef NTSTATUS (__stdcall *QuerySystemInformation)(int,void*,unsigned long,unsigned long*);
typedef NTSTATUS (__stdcall *QueryObject)(HANDLE,int,void*,unsigned long,unsigned long*);


QueryObject NtQueryObject;
QuerySystemInformation NtQuerySystemInformation;


  因项目需要,需要列举进程打开的文件列表。网上找了一大圈,实在是没有现成的代码,终于搜罗了一段可以用的代码。


cfy_yinwenhao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
列举进程列表,相关函数的运用
06-02
以上就是通过Windows API列举进程列表及其相关知识的概述。在实际应用中,可能还需要处理各种错误情况,并确保安全地使用系统资源。对于其他操作系统,如Linux或macOS,也有相应的函数(如`ps`命令、`/proc`文件系统...
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5446
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4433
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
通过对象名(ObjectName)匹配,确定所属的进程
pureman_mega的博客
08-30 924
大概流程: 首先通过ZwQuerySystemInformation(SystemHandleInformation,*,*)获取句柄信息,然后根据句柄调用ZwQueryObject(*,ObjectNameInformation,*)获取对象名信息,最后匹配确定目标。示例是确定“\\Windows\\ApiPort"所属的进程。 需要注意的是用有的句柄调用ZwQueryObject会返回ST...
【IO】File
yhl_jxy的博客
02-11 554
一 File概述 存储在变量、数组和对象中的数据是暂时的,当程序终止时他们就会丢失, 为了能够永久的保存程序中创建的数据,需要将他们存储到硬盘或光盘的文件中。 而File类关心的是在磁盘上文件的存储,File类描述的是一个文件文件夹。 File类的出现是对文件系统的中的文件以及文件夹进行对象的封装。 可以通过对象的思想来操作文件以及文件夹,用面向对象的方式处理问题, 通过该对象的方法
列举进程进程打开文件
01-04
例如,`UScanOpenFiles.pas`可能包含用于扫描和列出进程打开文件的代码,`UWinNative.pas`可能封装了对`NtQueryObject`和`NtQuerySystemInformation`的调用,而`USysDebugLog.pas`则可能用于记录和显示调试信息,...
列举系统中所有进程.zip_列举进程_所有进程
09-24
- **Windows API**:在Windows系统中,可以使用`CreateProcess()`创建新进程,`EnumProcesses()`列举所有进程,`OpenProcess()`和`TerminateProcess()`则分别用于打开和结束进程。 8. **源代码文件解析**: - `...
API枚举进程文件路径.rar
04-04
在Windows操作系统中,API提供了一系列的功能调用,允许开发者执行各种任务,包括枚举(列举)系统中的进程以及获取这些进程文件路径。本文将详细讲解如何利用API来枚举进程文件路径,主要基于易语言的编程实践。 ...
易语言汇编实现打开进程源码-易语言
06-13
为了获取进程ID,你可以使用`EnumProcesses`函数,它可以列举系统中所有活动进程的ID。在易语言中,你需要创建一个数组来存储这些ID,然后遍历数组并调用`OpenProcess`。 在实际编程过程中,还需要注意错误处理。...
用ToolHelpAPI的方法列举系统进程
08-02
1. **打开进程快照**:首先,我们需要调用`CreateToolhelp32Snapshot`函数,创建一个包含当前系统进程信息的快照。这个函数返回一个句柄,我们可以通过这个句柄访问快照中的信息。函数原型如下: ```c++ HANDLE ...
Delphi 列举进程进程模块信息实例.rar_delphi 进程路径_revieww6t_sittingps3_进程模块_进
09-23
在本文中,我们将深入探讨如何使用 Delphi 编程语言来列举系统中的进程及其模块信息。Delphi 是一种基于 Object Pascal 的集成开发环境(IDE),它提供了强大的 Windows API 访问能力,使得开发者能够轻松地获取和...
易语言精确取得进程安全性
07-19
1. **列举进程**:程序能够列出系统中正在运行的所有进程,这是进程管理的基础。通过枚举进程,开发者可以获取到进程ID、进程名等信息,这在系统监控、性能分析或恶意软件检测中非常有用。 2. **获取MD5**:MD5...
易语言取进程精确安全性
07-16
在易语言中,列举进程是一个重要的功能。通过系统调用或API函数,如EnumProcesses,可以列出系统中所有正在运行的进程。这个过程通常涉及到循环遍历每个进程,获取其基本信息,并可能进一步分析其安全性。 获取MD5...
列举进程和枚举当前窗口,Delphi源码版..rar
05-07
在提供的压缩包中,"codefans.net"可能是源代码所在的目录或文件打开后可以看到完整的Delphi项目文件。研究这些源码,开发者可以进一步提升对Delphi编程和Windows API的理解,同时也为自己的项目开发积累宝贵的...
文件描述符、文件打开表和inode表
MTS的博客
10-25 2431
文件描述符(进程级)就是一个数组,数组的每个下标内容都会指向打开文件表(系统级)的一个偏移量。每一个进程都会创建一个文件描述符,子进程会继承父进程文件描述符。同一进程下多次打开同一个文件文件描述符不一样,但是指向的偏移量一样,两个描述符对文件的操作不会相互影响。父子进程文件描述符相同,所以会父子进程之间对文件的操作会相互影响。内核会对每一个打开文件存储到这个描述表格中。表格中的每一项称为一个文件句柄,它存储了一个打开文件的所有相关信息(如文件偏移量,文件状态,inode地址)。
二、核心导言
星辰的博客
10-03 958
UNIX操作系统的体系结构 “文件”和“进程”是UNIX系统的两个最基本实体和中 心概念,UNIX系统的所有操作都是以这两者为基础的。整 个系统核心由以下五个部分组成: ① 文件系统: 文件管理和存储空间管理(节点和空间管理) ②I/O设备管理: 核心→缓冲→块设备(随机存取设备) 核心→原始设备(raw设备,字符设备,裸设备) ③ 进程控制: 进程的调度、同步和通讯 ④ 存贮管理: 在主存与二级存储之间对程序进行搬迁 ⑤ 时钟管理: 把cpu的时间分配给当前最高优先权的进程。 系统概念 文件系统 1.索引
内核中的_OBJECT_INFORMATION_CLASS 结构
小驹的专栏
11-03 5383
实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO
通过文件句柄获取文件路径
ab7936573的专栏
03-01 1360
直接上代码: CHandleLook.h文件: #ifndef CHANDLELOOK_H #define CHANDLELOOK_H #include #include #include typedef NTSTATUS (WINAPI *pNtQueryInformationProcess)(HANDLE ProcessHandle, PROCESSINFOCLASS Pr
列举20种c++结束windows上的进程的思路
最新发布
07-10
17. 使用 C++ 文件操作函数打开进程相关的文件,如 `\\.\pipe\` 或 `\\.\mailslot\`,并发送指令来结束进程。 18. 使用 C++ 的网络编程库,如 Winsock 或 Boost.Asio,连接到目标进程的网络端口,并发送终止命令来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值