结束占用文件的进程

最新推荐文章于 2024-02-22 11:32:41 发布
最新推荐文章于 2024-02-22 11:32:41 发布
阅读量364 收藏
点赞数
分类专栏: 安全开发 文章标签: 安全
原文链接:https://blog.csdn.net/weixin_43376501/article/details/103191326
版权

勒索软件在遍历文件加密时会用到下列代码,该代码功能主要防止文件被进程占用而无法被加密。

#include <windows.h>
#include <RestartManager.h>
#include <stdio.h>

int __cdecl wmain(int argc, WCHAR** argv)
{
	DWORD dwSession = 0;
	WCHAR szSessionKey[CCH_RM_SESSION_KEY + 1];
	DWORD dwError = RmStartSession(&dwSession, 0, szSessionKey);
	if (dwError != ERROR_SUCCESS)
	{
		wprintf(L"RmStartSession Start Error, ErrorCode: %d\n", dwError);
		getchar();
	}

	PCWSTR pszFile = argv[1];
	dwError = RmRegisterResources(dwSession, 1, &pszFile, 0, NULL, 0, NULL);
	if (dwError != ERROR_SUCCESS)
	{
		wprintf(L"RmRegisterResources for File %ls Error, ErrorCode: %d\n", pszFile, dwError);
		getchar();
	}

	DWORD dwReason = 0;
	UINT i = 0;
	UINT nProcInfoNeeded = 0;
	UINT nProcInfo = 10;
	RM_PROCESS_INFO rgpi[10];
	memset(rgpi, 0, sizeof(rgpi));
	dwError = RmGetList(dwSession, &nProcInfoNeeded, &nProcInfo, rgpi, &dwReason);
	if (dwError != ERROR_SUCCESS)
	{
		wprintf(L"RmGetList Error, ErrorCode: %d\n", dwError);
		getchar();
	}

	if (nProcInfoNeeded == 0)
	{
		wprintf(L"This file is not in locked!");
		getchar();
	}

	for (i = 0; i < nProcInfo; i++)
	{
		wprintf(L"The locked file: %ls\n\n", pszFile);
		wprintf(L"Who lock this file:\n");
		wprintf(L"Name: \t%ls\n", rgpi[i].strAppName);
		wprintf(L"ID  : \t%d\n", rgpi[i].Process.dwProcessId);


		HANDLE hProcess = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, FALSE, rgpi[i].Process.dwProcessId);

		if (hProcess)
		{
			// 这个if语句是为了判断是否是某个程序的某个进程(因为一个程序可以有多个进程)
			FILETIME ftCreate, ftExit, ftKernel, ftUser;
			if (GetProcessTimes(hProcess, &ftCreate, &ftExit, &ftKernel, &ftUser)
				&& CompareFileTime(&rgpi[i].Process.ProcessStartTime, &ftCreate) == 0)
			{
				WCHAR sz[MAX_PATH] = { 0 };
				DWORD ProcPathMaxLength = MAX_PATH;
				if (QueryFullProcessImageNameW(hProcess, 0, sz, &ProcPathMaxLength) && ProcPathMaxLength <= MAX_PATH)
				{
					wprintf(L"Path: \t%ls\n", sz);
				}
			}

			wprintf(L"\n");
			CloseHandle(hProcess);
		}
	}

	RmEndSession(dwSession);

	getchar();

	return 0;
}

注意,编译时需要在链接项里的附加库目录加上Rstrtmgr.dll,在链接项的附加依赖项加上Rstrtmgr.lib。

参考链接:https://blog.csdn.net/weixin_43376501/article/details/103191326

摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Visual StudioC++新特性--MFC王者归来(3)MFC新功能-基于windows7的重启管理灾难恢复
尹成的技术博客
03-15 5862
为了提高用户体验,让用户用起来感觉比较爽,Microsoft在Windows Vista系统中首先引入了重启管理器(Restart Manager)。就类似office2007的自动保存功能,一旦出了故障,可以恢复自己的工作成果,不至于让自己工作成果因为故障而丢失。它可以帮助应用程序维护其当前运行状态,当软件更新后需要重新启动,或者是遇到非常严重的问题崩溃后,可以重新启动软件并且恢复到软件
文件占用进程查看工具支持win7 xp win8
03-01
文件占用查看工具能够帮助用户识别这些占用文件进程,以便进行相应的操作,比如结束进程或者等待进程释放文件。 2. **进程查看**:进程是操作系统中正在执行的程序实例。通过查看进程,我们可以知道哪些程序正在...
如何快速结束占用的程序
luostudent的博客
05-23 5800
如何快速结束占用的程序 问题 有时候,我们会遇到这样一个问题,突然有些文件或者程序打不开,也不能删除修改,提示已经被另个个程序占用了。例如像下面这样: 正常情况如果我们能找到被打开的程序然后关闭掉它就可以,但是有时候时我们已经“非正常关闭”了,在桌面上找不到是被什么程序打开占用了,当然这里我们可以猜测是被word打开占用了,直接去结束掉word的进程,但也并不可靠,其他程序也可已占用这个文件,那有什么好的办法准确的找到是哪个应用进程占用了该文件呢? 解决办法 1、打开任务管理器,选择性能 2、打开资源
解锁被进程占用文件
12-03
一个好用的强制解锁文件的小工具。可以强制解锁被进程占用文件,或者强制删除文件。 安装后对要解锁的文件,点击右键使用。 实测可用于XP sp3系统,其他系统兼容性未知。 总结:对于没有类似360卫士一类的软件(这类软件可以强制删除文件,但比较臃肿)的系统,建议安装加强系统强制删除文件的能力。
Windows Restart Manager 重启管理器
weixin_34354173的博客
08-22 889
Restart Manager(以下简称RM)可以减少或避免安装或更新程序所需要的系统重启次数。安装(或更新)过程中需要重启的主要原因是需要更新的某些文件当前正被一些其它程序或服务所使用。RM允许除关键系统服务(Critical System Services)之外的所有程序(或服务)关闭和重启。这将释放正在使用的文件从而使安装得以完成。 RM DLL导出了一组可供安装包使用的C接口。安装...
Windows 重启 explorer 的正确做法
溡漪幽博客
02-19 2902
我们往往使用 TerminateProcess 并传入 PID 和特殊结束代码 1 或者 taskkill /f /im 等方法重启资源管理器( explorer.exe ),其实这是不正确的。我们应该使用重启管理器接口来重启 explorer 进程
Windows 获取当前文件占用的程序并且杀死进程
zzc116433008的博客
06-15 492
检测并且强杀占用windows文件进程
易语言-解锁文件占用和暴力删除文件
06-29
通常,我们需要结束占用文件进程或者等待进程释放文件后才能删除。 这个例程可能包含以下关键知识点: 1. **进程管理**:首先,易语言例程需要获取系统中所有运行的进程信息,以便找出占用目标文件进程。这...
Unlocker文件占用解除工具
04-24
使用Unlocker需要注意的是,尽管它通常能够安全地关闭占用文件进程,但强制结束某些系统关键进程可能会导致系统不稳定甚至崩溃。因此,在操作前应了解清楚被占用文件是由哪个进程控制的,避免对重要进程进行错误...
解除文件占用
09-02
它们的操作流程一般包括扫描系统中的文件占用情况,显示占用文件的详细信息(如进程名称、PID等),然后允许用户选择并结束相应的进程,释放文件。 32-bit和64-bit是指软件的不同版本,分别对应32位和64位操作系统...
rootkit,文件进程隐藏
11-05
rootkit,backdoor,系统调用劫持,ps进程隐藏,ls文件隐藏,代码
结束进程,顽固进程结束,批处理
07-28
批处理里编辑,写入你要结束进程名字,不管你系统有多少同样的进程,只要运行这个批处理,都会被结束掉。
基于Qt,vs2022编写的代码 用于查找当前文件占用的程序 强杀占用程序
06-15
为了解决这个问题,开发者们会编写特定的工具来找出占用文件进程并强制结束它。本项目就是一个基于Qt框架,利用Visual Studio 2022编写的代码示例,用于查找并结束占用当前文件的程序。 首先,Qt是一个跨平台的...
windows查看端口占用,并强制结束占用进程
热门推荐
vampire_Violet的博客
04-17 3万+
好记性不如烂笔头,之前用过,再用却忘了
Windows系统缺少RstrtMgr.dll文件导致程序异常问题
amio555的专栏
10-09 256
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个RstrtMgr.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现RstrtMgr.dll丢失要怎么解决?
Windows下如何检测文件是被哪个进程占用
zhjs_abc的博客
11-21 1287
Windws下如何检测文件是被哪个进程占用了 通过Windows的Restart ManagerAPIs可以实现文件占用的查询。Restart Manager是Windows下用以实现Installer的APIs,详细请看Windows Restart Manager 重启管理器。 C++ 实现: 这里是根据博客(How do I find out which process has a f...
Windows系统丢失找不到RstrtMgr.dll文件如何解决?
file
10-13 189
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个RstrtMgr.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现RstrtMgr.dll丢失要怎么解决?
RstrtMgr.dll文件丢失导致程序无法运行问题
最新发布
2301_76755223的博客
02-22 945
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个RstrtMgr.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现RstrtMgr.dll丢失要怎么解决?
c++ 删除文件失败提示文件进程占用
07-14
2. 使用任务管理器或进程管理工具:我们可以使用任务管理器(Windows操作系统)或类似的进程管理工具来查找和结束占用文件进程。打开任务管理器,切换到"进程"或"详细信息"选项卡,并找到占用文件进程。选中该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值