有方法读取一个已被其他进程打开且dwSharemode = 0的文件吗?

最新推荐文章于 2023-06-20 16:34:01 发布
最新推荐文章于 2023-06-20 16:34:01 发布
阅读量2.3k 收藏 1
点赞数 1
文章标签: 遍历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misterliwei/article/details/44228917
版权

有方法读取一个已被其他进程打开且dwSharemode = 0的文件吗?

 

最近有项目要打开一个已被其他进程打开,且其dwShareMode=0,即其它进程不得共享打开。该如何做呢?久思不得其解,于是去bbs.pediy.com询问[1],网友给出的方法是:

 

1)         干掉原句柄,比较常用的手段有杀死原进程,远程关闭句柄,创建远程线程调用CloseHandle

2)         复制原句柄,打开进程用DuplicateHandle复制一份即可使用

3)         如果使用驱动的话,直接下发IRP读文件内容即可,缺点是也许需要硬编码 

 

 

我选用了第二种方法,果然能解决问题。但是中间也遇到了一些问题,本文来说说这中间遇到的问题。

 

既然是使用DuplicateHandle,那么必须知道原进程的PID,和文件在该进程中的句柄Handle。

所以程序的思路是先遍历系统中所有进程,然后或则进程中文件句柄,接着使用文件句柄获得文件名称——这样便可以得到PID和Handle了。

 

一.       遍历系统所有进程

可以使用多种方法遍历系统中所有进程,一般使用ZwQuerySystemInformation(SystemProcessesAndThreadsInformation)或者CreateToolhelp32Snapshot来实现。

 

二.       遍历句柄

句柄的遍历使用ZwQuerySystemInformation(SystemHandleInformation),该函数列出所有进程的所有句柄,然后使用TSYSTEM_HANDLE_INFORMATION结构体中的ProcessId来过滤出指定进程的句柄。

 

这里的句柄是各种类型。可以通过TSYSTEM_HANDLE_INFORMATION结构体中的ObjectTypeNumber来判断句柄类型。在程序中我使用File=28硬编码,因为我发现在Win7和XP下是成立的,

 

但是有网友[3]讨论说不是所有的系统都是这样的,于是我尝试遍历系统中所有的类型对象(type object),方法是使用ZwQueryObject(ObjectAllTypesInformation)。本想通过序号实时找出当前系统中的类型值,但是遗憾是序号值不对。

 

补充:这个index值应该是OBJECT_TYPE对象中的INDEX字段:


三.       根据文件句柄获取文件名

只有获得句柄对应的文件名,通过比较才能知道是否是想要的文件句柄,所以当务之急是获得文件名。但是得先通过调用OpenProcess和DuplicateHandle来复制一个句柄。然后再使用下面两类方法中的一种:

 

1.      使用ZwQueryInformationFile

该函数返回一个TFILE_NAME_INFORMATION结构,这个结构包括文件的名称,但是不包括驱动器名,所以需要通过其他方法(见下)获得驱动器名,将上述两者相连方可获得整个文件名了。

 

这个方法有个问题,在某些进程(如qq.exe)在调用ZwQueryInformationFile时会使调用程序“死掉”。难道qq这些程序有什么保护方法,不让复制的句柄来使用ZwQueryInformationFile?

 

2.      使用GetMappedFileName

这种方法使用CreateFileMapping、MapViewOfFile和GetMappedFileName获得文件名——同样没有驱动器名,所以也得通过其他方法(见下)获得驱动器名。

这种方法也有缺陷,不能调用CreateFileMapping打开没有访问权限目录中的文件。

 

3.      获得驱动器名

有两种方法获得驱动器名:

1)  GetFileInformationByHandle和GetLogicalDriveStringsA比较

2)  GetLogicalDriveStrings和QueryDosDevice比较

GetFileInformationByHandle也会使程序“死掉”,所以慎用。

 

四.       大功告成

知道了进程pid和句柄值,就可以通过复制句柄的方法访问文件了——这其实在前面已经这么做过一次了——获得文件名不正是复制句柄来实现的吗?

 

不过,在使用文件指针访问文件(如调用ReadFile和WriteFile)时要注意:因为原句柄和复制句柄共享一个文件指针,所以可能会造成指针位置的混乱。

 

五.       参考文献

1.      http://bbs.pediy.com/showthread.php?t=198566

2.      有关遍历进程中句柄的方法总结http://blog.sina.com.cn/s/blog_58e7a03b01014c9e.html

3.      http://bbs.pediy.com/showthread.php?t=179951

4.      [Delphi]从handle获得文件名 

http://cndkervip.blog.163.com/blog/static/32546863200772311416631/

 

 

misterliwei
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
CreateFile 文件读取和写入
10-12
在Windows API中,`CreateFile`函数是用于创建、打开、重命名或关闭一个文件、设备、管道或者网络文件系统对象的关键函数。这个函数提供了广泛的控制权,允许开发者执行多种文件操作,包括读取和写入。下面我们将...
delphi 判断文件是否打开.txt
07-20
5. 否则,如果成功返回一个非`INVALID_HANDLE_VALUE`的句柄,则表示文件未被其他进程打开,此时应立即关闭句柄以释放资源。 ### 示例代码 下面是一段示例代码,展示了如何使用`CreateFile`函数判断文件是否已被...
文件的共享模式和访问权限
ayang1986的专栏
01-30 1087
转载自:http://zplutor.github.io/2018/08/26/file-share-mode-and-access-rights/ 有用户反馈了这样一个问题:当Word或者Excel打开一个文件时,无法用我们的程序打开文件,而用其它程序却能够正常打开。经检查,这是由于在打开文件时CreateFile函数失败了,错误码是32,“另一个程序正在使用此文件进程无法访问”。 ...
[原]CreateFile中的dwShareMode
04-27 211
原总结API 一直对CreateFile的参数dwDesiredAccess和dwShareMode有什么不同不是很清楚,今天重读windows核心编程的时候终于豁然开朗了。 真是书读百遍,其义自见。 简要总结如下: dwDesiredAccess表示本次CreateFile想要获取的权限: 只读(GENERIC_READ),只写(GENERIC_WRITE),可读写(GE...
使用文件映射获取打开文件
zgl7903的专栏
08-14 1109
#include "stdafx.h" #include #include #include #include #include #include #include #pragma comment(lib, "psapi.lib") LPCTSTR GetFileNameFromHandle(HANDLE hFile) { static TCHAR pszFilename
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
weixin_44891742的博客
07-26 6118
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
利用共享内存机制实现进程通信
最新发布
weixin_43662044的博客
06-20 437
利用共享内存机制实现进程间通信
windows下进程间通信总结
12-24
每个进程都有独立的虚拟地址空间,包含了代码、数据以及其他系统资源(例如文件、管道等)。多进程或多线程是Windows操作系统的一个基本特征。为了方便应用程序间的数据共享和交换,Microsoft Win32 API 提供了大量...
操作系统实验七、Windows的文件管理.pdf
12-22
- 这个函数用于创建一个新的文件,或者打开一个已存在的文件。如果文件已存在,函数会返回该文件的句柄。 - 参数`dwFlagsAndAttributes`用于设置文件的传输方式。通常,设置为`FILE_ATTRIBUTE_NORMAL`表示普通文件...
文件操作1
08-03
3. `dwShareMode`: 指定文件的共享模式,例如是否允许其他进程同时读取或写入。 4. `lpSecurityAttributes`: 安全属性结构体,用于设置文件的安全访问控制,如访问权限、继承性等。这是与安全性密切相关的参数。 5. ...
WinAPI (Delphi版)
11-10
Creating Windows CreateMDIWindow CreateWindow CreateWindowEx RegisterClass RegisterClassEx UnregisterClass Message Processing BroadcastSystemMessage CallNextHookEx CallWindowProc DefFrameProc DefMDIChildProc DefWindowProc DispatchMessage GetMessage GetMessageExtraInfo GetMessagePos GetMessageTime GetQueueStatus InSendMessage PeekMessage PostMessage PostQuitMessage PostThreadMessage RegisterWindowMessage ReplyMessage SendMessage SendMessageCallback SendMessageTimeout SendNotifyMessage SetMessageExtraInfo SetWindowsHookEx TranslateMessage UnhookWindowsHookEx WaitMessage Window Information AnyPopup ChildWindowFromPoint ChildWindowFromPointEx EnableWindow EnumChildWindows EnumPropsEx EnumThreadWindows EnumWindows FindWindow FindWindowEx GetClassInfoEx GetClassLong GetClassName GetClientRect GetDesktopWindow GetFocus GetForegroundWindow GetNextWindow GetParent GetProp GetTopWindow GetWindow GetWindowLong GetWindowRect GetWindowText GetWindowTextLength IsChild IsIconic IsWindow IsWindowEnabled IsWindowUnicode IsWindowVisible IsZoomed RemoveProp SetActiveWindow SetClassLong SetFocus SetForegroundWindow SetParent SetProp SetWindowLong SetWindowText WindowFromPoint Processes and Threads CreateEvent CreateMutex CreateProcess CreateSemaphore CreateThread DeleteCriticalSection DuplicateHandle EnterCriticalSection ExitProcess ExitThread GetCurrentProcess GetCurrentProcessId GetCurrentThread GetCurrentThreadId GetExitCodeProcess GetExitCodeThread GetPriorityClass GetThreadPriority GetWindowThreadProcessId InitializeCriticalSection InterlockedDecrement InterlockedExchange InterlockedIncrement LeaveCriticalSection OpenEvent OpenMutex OpenProcess OpenSemaphore PulseEvent ReleaseMutex ReleaseSemaphore ResetEvent ResumeThread SetEvent SetPr
delphi获取程序的启动参数GetCommandLine
09-05
delphi获取程序的启动参数GetCommandLine
Regular Windows API
Starr
01-18 360
文章目录一、进程创建进程遍历进程终止进程打开进程获取进程 ID获取进程可执行文件路径遍历进程模块信息获取指定模块句柄获取模块内函数地址动态加载 DLL卸载DLL获取进程命令行参数读写远程进程数据:申请内存修改内存属性:释放内存获取系统版本(Win NT/2K/XP<0x80000000)读写进程优先级2. 线程创建线程挂起与激活线程获取线程退出代码:等待线程退出(线程受信状态或超时):遍历线...
GetLogicalDriveStrings获取盘符(包含字符转换)
thecentury的博客
06-16 6069
GetLogicalDriveStrings获取盘符例程://函数功能:获取驱动器 参数:路径名 void CPicTestDlg::GetLogicalDrives(HTREEITEM hParent) { //获取系统分区驱动器字符串信息 size_t szAllDriveStrings = GetLogicalDriveStrings(0, NULL); //驱动器...
delphi 文件操作(信息获取)
dkopg24406的专栏
08-13 1060
delphi获取Exe文件版本信息的函数 Type TFileVersionInfo = Record FixedInfo:TVSFixedFileInfo; {版本信息} CompanyName:String; {公司名称} FileDescription:String; {说明} FileVersion:String; {文件版本} InternalName...
多个进程同时写文件 windows linux
06-13
通过设置该参数,可以指定多个进程可以同时打开文件并进行读写操作。同时,还可以使用LockFile和UnlockFile函数来锁定文件的某一部分,从而防止其他进程对该部分进行修改。 在Linux中,可以使用fcntl函数来进行文件...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值