通过进程查询它打开的文件,通过文件查询打开它的进程

最新推荐文章于 2024-09-10 19:16:08 发布
最新推荐文章于 2024-09-10 19:16:08 发布
阅读量999 收藏
点赞数
文章标签: 操作系统 程序员 c语言 windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1282867270/article/details/43154473
版权
本文介绍如何在Windows系统中通过进程ID获取进程名,以及通过进程名找到对应ID。作者分享了一段C++代码,用于查询进程打开的文件,并讨论了代码注释的重要性。文章还探讨了代码注释的两种观点,强调程序员应根据实际情境灵活运用。
摘要由CSDN通过智能技术生成 





#ifndef GETFILEHANDLE_H__
#define GETFILEHANDLE_H__

#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS 0x00000000
#define STATUS_UNSUCCESSFUL 0xC0000001
#define STATUS_NOT_IMPLEMENTED 0xC0000002
#define STATUS_INFO_LENGTH_MISMATCH 0xC0000004//
//#define STATUS_INVALID_PARAMETER 0xC000000D
#define STATUS_ACCESS_DENIED 0xC0000022
#define STATUSBUFFER_TOO_SMALL 0xC0000023
#define STATUS_BUFFER_OVERFLOW           0x80000005
//#define OBJ_KERNEL_HANDLE 0x00000200
//#define SystemModuleInformation 11
//#define SystemHandleInformation 0x10
//typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWST Buffer; } UNICODE_STRING, *PUNICODE_STRING; 
//typedef enum _PROCESSINFOCLASS { ProcessBasicInformation, ProcessQuotaLimits, ProcessIoCounters, ProcessVmCounters ProcessTimes, ProcessBasePriority, ProcessRaisePriority, ProcessDebugPort, ProcessExceptionPort, ProcessAccessToken, ProcessLdtInformation, ProcessLdtSize, ProcessDefaultHardErrorMode, ProcessIoPortHandlers, ProcessPooledUsageAndLimits, ProcessWorkingSetWatch, ProcessUserModeIOPL, ProcessEnableAlignmentFaultFixup, ProcessPriorityClass, ProcessWx86Information, ProcessHandleCount, ProcessAffinityMask, ProcessPriorityBoost, ProcessDeviceMap, ProcessSessionInformation, ProcessForegroundInformation, ProcessWow64Information, ProcessImageFileName, ProcessLUIDDeviceMapsEnabled, ProcessBreakOnTermination, ProcessDebugObjectHandle, ProcessDebugFlags, ProcessHandleTracing, ProcessUnknown33, ProcessUnknown34, ProcessUnknown35, ProcessCookie, MaxProcessInfoClass } PROCESSINFOCLASS;
//typedef NTSTATUS(WINAPI *PFN_ZwQueryInformationProcess)(HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength);
//typedef NTSTATUS(WINAPI *PFN_IoVolumeDeviceToDosName)(PVOID VolumeDeviceObject, PUNICODE_STRING DosName); 
//int main(int argn, TCHAR argv[]){
//	HMODULE hDll = LoadLibrary(_T("Ntdll.dll")); PFN_ZwQueryInformationProcess pFn_ZwQueryInformationProcess; PFN_IoVolumeDeviceToDosName pFn_IoVolumeDeviceToDosName; if (NULL != hDll) { pFn_ZwQueryInformationProcess = (PFN_ZwQueryInformationProcess)GetProcAddress(hDll, "ZwQueryInformationProcess"); if (NULL != pFn_ZwQueryInformationProcess) { printf("Found it!!!ZwQueryInformationProcess\n"); }pFn_IoVolumeDeviceToDosName = (PFN_IoVolumeDeviceToDosName)GetProcAddress(hDll, "IoVolumeDeviceToDosName"); if (NULL != pFn_IoVolumeDeviceToDosName) { printf("Found it!!!IoVolumeDeviceToDosName\n"); } }
//	PROCESSINFOCLASS aFileName = ProcessImageFileName; UNICODE_STRING usRet; ULONG ulRet; HANDLE hProcess = GetCurrentProcess(); NTSTATUS stRet = pFn_ZwQueryInformationProcess(hProcess, aFileName, &usRet, 0, &ulRet);
//	if (stRet == STATUS_INFO_LENGTH_MISMATCH){
//		usRet.Length = ulRet; usRet.MaximumLength = ulRet;//usRet.Buffer = (TCHAR*)malloc(sizeof(TCHAR) * (ulRet) );}
//		stRet = pFn_ZwQueryInformationProcess(hProcess, aFileName, &usRet, ulRet, &ulRet); if (NT_SUCCESS(stRet)){ _tprintf(TEXT("FileName:%s\n"), usRet.Buffer); } if (NULL != hDll) { FreeLibrary(hDll); hDll = NULL; }if (NULL != usRet.Buffer)free(usRet.Buffer); _tsystem(TEXT("pause")); return 0;
//	}
//
typedef struct _SYSTEM_HANDLE
{
	ULONG  uIdProcess;
	UCHAR  ObjectType;    // OB_TYPE_* (OB_TYPE_TYPE, etc.)
	UCHAR  Flags;         // HANDLE_FLAG_* (HANDLE_FLAG_INHERIT, etc.)
	USHORT  Handle;
	PVOID  pObject;
	ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;


typedef struct _SYSTEM_HANDLE_INFORMATION
{
	ULONG   uCount;
	SYSTEM_HANDLE aSH[];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;




typedef enum _SYSTEMINFOCLASS
{
	SystemBasicInformation1,             // 0x002C
	SystemProcessorInformation,         // 0x000C
	SystemPerformanceInformation1,       // 0x0138
	SystemTimeInformation,              // 0x0020
	SystemPathInformation,              // not implemented
	SystemProcessInformation1,           // 0x00C8+ per process
	SystemCallInformation,              // 0x0018 + (n * 0x0004)
	Sys
最低0.47元/天 解锁文章
qq1282867270
关注
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1567
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
《逆向工程核心原理》学习笔记(七):反调试技术
闵行小鱼塘
05-28 2561
继续学习《逆向工程核心原理》,本篇笔记是第七部分:反调试技术,包括一些静态反调试技术和动态反调试技术
遍历进程内存
qq_41490873的博客
11-30 1035
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 404
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
NSProcessInfo类方法
weixin_30569153的博客
01-29 137
+(NSProcessInfo*)processInfo  //返回当前进程的信息 -(NSArray*)arguments  //以NSString对象数组的形式返回当前进程的参数 -(NSDictionary *)environment  //返回变量/值对词典,以描述当前的环境变量(比如PATH和HOME)及其值 -(int)processIdentifier  //返回进程标识符,它...
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 290
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
查看哪个文件正在被哪个进程打开,占用中
11-17
它能显示每个进程打开的所有文件、注册表项、网络连接等。通过搜索特定文件名,你可以快速定位到哪个进程占用了该文件。 3. **File Monitor**: 另一个来自Sysinternals的工具File Monitor(现在称为Process Monitor...
c#控制台面向对象练习通过进程打开txt文件
02-19
在这个“c#控制台面向对象练习通过进程打开txt文件”的主题中,我们将深入探讨如何在C#控制台应用中实现面向对象编程,并利用进程打开TXT文件。 首先,让我们理解面向对象编程的基本概念。在C#中,类(Class)是...
查看系统网络连接打开端口、系统进程、DOS打开文件的命令
09-15
通过以上命令,用户可以在DOS环境下完成一系列操作,包括查看网络连接状态、管理进程打开文件以及启动特定服务等。这些基础的命令行技巧对于日常维护和故障排除非常有帮助,尤其适用于那些对图形界面不熟悉或者...
ProcessInfo
05-18
一个查看系统中进程详细信息的小工具,对于查看进程的详细信息很有帮助
查询进程打开文件,fuser lsof
06-22
查询进程打开文件,fuser 和 lsof 命令 在 Linux 系统中,经常会遇到某个进程打开文件或目录被占用的情况,导致无法卸载或删除该文件或目录。这时,需要使用特殊的命令来查询当前打开文件或目录。其中,fuser...
Linux下查看进程打开文件句柄数和如何修改方法
01-11
如果单个进程打开文件句柄数量超过了系统定义的值,就会提到“too many files open”的错误提示。如何知道当前进程打开了多少个文件句柄呢?下面一段小脚本可以帮你查看: 1.lsof -n |awk ‘{print $2}’|sort|...
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 512
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1903
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5730
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
Linux和C语言(Day10)
最新发布
weixin_65095004的博客
09-10 1133
实现特定功能的代码块定义函数: 存储类型 数据类型 函数名(参数列表){ 实现特定功能的代码块 }
linux进程打开文件数限制
09-08
Linux对进程打开文件数设置了限制,这个限制被称为文件描述符限制或打开文件数限制。这个限制控制了一个进程能够同时打开文件数量。 文件描述符限制通常由操作系统的配置文件中的参数控制。我们可以通过 ulimit ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值