查看文件是否被其他进程访问

最新推荐文章于 2022-05-16 08:22:21 发布
最新推荐文章于 2022-05-16 08:22:21 发布
阅读量1.2k 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stillfantasy1988/article/details/79669463
版权

项目中写了一个穿网闸文件传输程序,定期扫描指定文件夹,并将文件传输至网闸对侧。但在使用过程中发现部分文件经常被截断传输,实际上程序中对该问题已经做了处理,Linux系统使用lsof命令可以直接插到该文件当前有没有被写入,Windows系统使用尝试重命名文件方式来确定文件有没有被占用。但实际应用中在Windwos环境安装的openssh来提供sftp server,该程序在文件传输过程中,可以随意重命名,甚至删除文件。试了下free sftp,倒是与期望的一样,会独占文件。

为了解决上述问题,有个openfiles命令可以支持,但执行太慢,影响使用。查了相关资料,Windows上没有更好的办法,原则上需要遍历所有进程的内核对象,得到这些内核对象的路径,与文件路径进行比对。

代码如下:

.h

#pragma once
#include "stdafx.h"
#include <stdio.h>
#include <tchar.h>
#include <windows.h>
#include <atlbase.h>
#include <shlwapi.h>
#include <tlhelp32.h>
#include <sys/timeb.h>
#include <strsafe.h>
#include <shellapi.h>
#include <vector>
#include <map>
#include <winternl.h>
#include <psapi.h>
#include <string>
using namespace std;


#pragma comment(lib, "psapi.lib")
#define NT_SUCCESS(status) (status == (NTSTATUS)0x00000000L)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
#define STATUS_BUFFER_OVERFLOW ((NTSTATUS)0x80000005L)
#define SystemHandleInformation ((SYSTEM_INFORMATION_CLASS)16)
#define FileNameInformation ((FILE_INFORMATION_CLASS)9)


typedef std::basic_string<TCHAR, std::char_traits<TCHAR>, std::allocator<TCHAR>> tstring;


typedef struct _OBJECT_NAME_INFORMATION
{
UNICODE_STRING Name;
WCHAR NameBuffer[1];
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;


typedef enum _OBJECT_INFORMATION_CLASS
{
ObjectBasicInformation,
ObjectNameInformation,
ObjectTypeInformation,
ObjectAllInformation,
ObjectDataInformation
} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;


typedef NTSTATUS (WINAPI *NTQUERYOBJECT)(
_In_opt_ HANDLE Handle,
_In_ OBJECT_INFORMATION_CLASS ObjectInformationClass,
_Out_opt_ PVOID ObjectInformation,
_In_ ULONG ObjectInformationLength,
_Out_opt_ PULONG ReturnLength);


typedef struct _SYSTEM_HANDLE
{
DWORD dwProcessId;
BYTE bObjectType;
BYTE bFlags;
WORD wValue;
PVOID pAddress;
DWORD GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;


typedef struct _SYSTEM_HANDLE_INFORMATION
{
DWORD dwCount;
SYSTEM_HANDLE Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;


typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)(
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL);


typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONFILE)(
IN HANDLE FileHandle,
OUT PIO_STATUS_BLOCK IoStatusBlock,
OUT PVOID FileInformation,
IN ULONG Length,
IN FILE_INFORMATION_CLASS FileInformationClass);


class ncScopedHandle
{
ncScopedHandle(const ncScopedHandle&);
ncScopedHandle& operator=(const ncScopedHandle&);
public:
ncScopedHandle(HANDLE handle)
: _handle(handle)
{
}
~ncScopedHandle()
{
if (_handle != NULL)
{
CloseHandle(_handle);
}
}
operator HANDLE() const
{
return _handle;
}
PHANDLE operator& ()
{
return &_handle;
}
void operator=(HANDLE handle)
{
if (_handle != NULL) {
CloseHandle(_handle);
}
_handle = handle;
}
private:
HANDLE _handle;
};
// ncFileHandle
struct ncFileHandle
{
SYSTEM_HANDLE _handle;
tstring _filePath;
tstring _path;
ncFileHandle (SYSTEM_HANDLE handle, const tstring& filePath, const tstring& path)
: _handle (handle)
, _filePath (filePath)
, _path (path)
{
}

};


.cpp

// CheckFileOccupied.cpp : Defines the entry point for the application.
//


#include "stdafx.h"
#include "CheckFileOccupied.h"


// GetDeviceDriveMap
void GetDeviceDriveMap(std::map<tstring, tstring>& mapDeviceDrive)
{
TCHAR szDrives[512];
if (!GetLogicalDriveStrings (_countof(szDrives) - 1, szDrives)) {
return;
}
TCHAR* lpDrives = szDrives;
TCHAR szDevice[MAX_PATH];
TCHAR szDrive[3] = _T(" :");
do {
*szDrive = *lpDrives;
if (QueryDosDevice (szDrive, szDevice, MAX_PATH)) {
mapDeviceDrive[szDevice] = szDrive;
}
while (*lpDrives++);
}
while (*lpDrives);
}


// DevicePathToDrivePath
BOOL DevicePathToDrivePath (tstring& path)
{
static std::map<tstring, tstring> mapDeviceDrive;
if (mapDeviceDrive.empty ()) {
GetDeviceDriveMap (mapDeviceDrive);
}
for (std::map<tstring, tstring>::const_iterator it = mapDeviceDrive.begin (); it != mapDeviceDrive.end (); ++it) {
size_t nLength = it->first.length ();
if (_tcsnicmp (it->first.c_str (), path.c_str (), nLength) == 0) {
path.replace (0, nLength, it->second);
return TRUE;
}
}
return FALSE;
}


// GetHandlePath
BOOL GetHandlePath (HANDLE handle, tstring& path)
{
static NTQUERYOBJECT fpNtQueryObject =
(NTQUERYOBJECT)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryObject");
if (fpNtQueryObject == NULL) {
return FALSE;
}
DWORD dwLength = 0;
OBJECT_NAME_INFORMATION info;
NTSTATUS status = fpNtQueryObject (handle, ObjectNameInformation, &info, sizeof (info), &dwLength);
if (status != STATUS_BUFFER_OVERFLOW) {
return FALSE;
}
POBJECT_NAME_INFORMATION pInfo = (POBJECT_NAME_INFORMATION)malloc(dwLength);
while (true) {
status = fpNtQueryObject (handle, ObjectNameInformation, pInfo, dwLength, &dwLength);
if (status != STATUS_BUFFER_OVERFLOW) {
break;
}
pInfo = (POBJECT_NAME_INFORMATION)realloc(pInfo, dwLength);
}
BOOL bRes = FALSE;
if (NT_SUCCESS(status)) {
path = pInfo->Name.Buffer;
bRes = DevicePathToDrivePath(path);
}
free(pInfo);
return bRes;
}


// GetSystemHandleInfo
PSYSTEM_HANDLE_INFORMATION GetSystemHandleInfo ()
{
static NTQUERYSYSTEMINFORMATION fpNtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQuerySystemInformation");
if (fpNtQuerySystemInformation == NULL)
{
return NULL;
}
DWORD dwLength = 0;
SYSTEM_HANDLE_INFORMATION shi;
NTSTATUS status = fpNtQuerySystemInformation(SystemHandleInformation, &shi, sizeof (shi), &dwLength);
if (status != STATUS_INFO_LENGTH_MISMATCH)
{
return NULL;
}
PSYSTEM_HANDLE_INFORMATION pshi = (PSYSTEM_HANDLE_INFORMATION)malloc(dwLength);
while (true)
{
status = fpNtQuerySystemInformation (SystemHandleInformation, pshi, dwLength, &dwLength);
if (status != STATUS_INFO_LENGTH_MISMATCH)
{
break;
}
pshi = (PSYSTEM_HANDLE_INFORMATION)realloc(pshi, dwLength);
}
if (!NT_SUCCESS (status))
{
free (pshi);
pshi = NULL;
}
return pshi;
}
//
// 检测指定句柄是否可能导致NtQueryObject卡死:
// 1.注意必须使用NtQueryInformationFile而不是NtQueryObject进行检测,否则可能导致WinXP系统
// 下进程死锁而无法结束。
//
void CheckBlockThreadFunc (void* param)
{
static NTQUERYINFORMATIONFILE fpNtQueryInformationFile = (NTQUERYINFORMATIONFILE)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryInformationFile");
if (fpNtQueryInformationFile != NULL)
{
BYTE buf[1024] = {0};
IO_STATUS_BLOCK ioStatus;
fpNtQueryInformationFile((HANDLE)param, &ioStatus, buf, 1024, FileNameInformation);
}
}


// IsBlockingHandle
BOOL IsBlockingHandle (HANDLE handle)
{
HANDLE hThread = (HANDLE)_beginthread(CheckBlockThreadFunc, 0, (void*)handle);
if (hThread == NULL)
{
return FALSE;
}
if (WaitForSingleObject(hThread, 100) != WAIT_TIMEOUT)
{
CloseHandle(hThread);
return FALSE;
}
CloseHandle(hThread);
TerminateThread (hThread, 0); //线程内申请的资源无法回收,周期调用将有内存泄漏
return TRUE; 
}


BYTE GetFileType()
{
// 打开“NUL”文件以便后续获取文件句柄类型值。
ncScopedHandle hTempFile = CreateFile(_T("NUL"), GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, 0);
if (hTempFile == NULL)
{
return FALSE;
}
// 获取当前系统中所有的句柄信息。
PSYSTEM_HANDLE_INFORMATION pshi = GetSystemHandleInfo();
if (pshi == NULL)
{
return FALSE;
}
// 查询当前系统的文件句柄类型值。
BYTE nFileType = 0;
DWORD dwCrtPid = GetCurrentProcessId();
for (DWORD i = 0; i < pshi->dwCount; ++i)
{
if (pshi->Handles[i].dwProcessId == dwCrtPid && hTempFile == (HANDLE)pshi->Handles[i].wValue)
{
nFileType = pshi->Handles[i].bObjectType;
break;
}
}
CloseHandle(hTempFile);
hTempFile = NULL;
return nFileType;
}


// FindFileHandle
BOOL FindFileHandle (HANDLE currentProcess,DWORD watchPid,LPCTSTR lpName,BYTE fileType)
{
BOOL ret = FALSE;


if (lpName == NULL)
{
return ret;
}
PSYSTEM_HANDLE_INFORMATION pshi = GetSystemHandleInfo();
if (pshi == NULL)
{
return ret;
}
for (DWORD i = 0; i < pshi->dwCount; ++i)
{
// 过滤掉非文件类型的句柄。
if (pshi->Handles[i].bObjectType != fileType)
{
continue;
}
if (pshi->Handles[i].dwProcessId != watchPid)
{
continue;
}


ncScopedHandle handle = NULL;
ncScopedHandle hProc = OpenProcess(PROCESS_DUP_HANDLE, FALSE, watchPid);
if (hProc == NULL)
{
continue;
}
// 将上述句柄复制到当前进程中。
if(!DuplicateHandle(hProc, (HANDLE)pshi->Handles[i].wValue, currentProcess, &handle, 0, FALSE, DUPLICATE_SAME_ACCESS))
{
continue;
}
//过滤掉会导致NtQueryObject卡死的句柄(如管道等)。
if (IsBlockingHandle (handle))
{
continue;
}
// 获取句柄对应的文件路径并进行匹配检查。
tstring filePath;
if (GetHandlePath(handle, filePath) && filePath.find(lpName) != tstring::npos)
{
ret = TRUE;
break;
}
}
free(pshi);
return ret;
}


DWORD GetProcessIDByName(_TCHAR* pName)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (INVALID_HANDLE_VALUE == hSnapshot)
{
return NULL;
}
PROCESSENTRY32 pe = { sizeof(pe) };
for (BOOL ret = Process32First(hSnapshot, &pe); ret; ret = Process32Next(hSnapshot, &pe))
{
if (_tcscmp(pe.szExeFile, pName) == 0)
{
CloseHandle(hSnapshot);
return pe.th32ProcessID;
}
}
CloseHandle(hSnapshot);
return 0;
}


int APIENTRY _tWinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPTSTR lpCmdLine,int nCmdShow)
{
int argc = -1;
LPWSTR *argList = NULL;
argList = CommandLineToArgvW(GetCommandLine(), &argc);
if(argList == NULL || argc != 3)
{
return -1;
}

_TCHAR* watchProcess = argList[1];
_TCHAR* filePathName = argList[2];


DWORD watchPid = GetProcessIDByName(watchProcess);
HANDLE currentProcess = GetCurrentProcess();

BYTE fileType = GetFileType();


return FindFileHandle(currentProcess,watchPid,filePathName,fileType);
}



stillfantasy1988
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
判断一个文件是否正在被其它的程序或进程所调用
11-26
判断一个文件是否正在被其它的程序或进程所调用
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4421
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
查看文件(或文件夹)被哪个进程使用【文件已在另一程序中打开
weixin_33778778的博客
12-28 1393
windows系统中当我们在删除某个文件文件夹时有时会提示该文件有程序在使用不能被删除,这时相当惆怅。那么可以用这个方法来找到是哪个进程在占用该文件:   1:打开任务管理器选择“性能”  2:单击下部的“资源监视器”  3:选择“CPU”,在下部可以看到“关联的句柄”搜索框  4:在该搜索框中输入要删除的文件名回车   在下面就会列出来占用该文件进程名,右键该进程单击“结束进程”,OK,...
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1177
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2114
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6138
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
查看哪个文件正在被哪个进程打开,占用中
11-17
以下是一些关于如何查看文件被哪个进程占用以及如何处理此类问题的知识点: 1. **任务管理器**: Windows自带的任务管理器提供了一个简单的视图来查看当前运行的进程及其详细信息。在"详细信息"或"服务"标签页下,...
Linux 监控文件被什么进程修改(详解)
09-15
在Linux系统中,有时我们需要确保特定文件不被未经授权的进程修改。为了实现这一目标,Linux提供了审计(Audit)系统,这是一个强大的工具集,用于监控系统活动,包括对文件的修改。下面将详细介绍如何使用Audit来监控...
C#程序提示“正由另一进程使用,因此该进程无法访问文件”的解决办法
09-03
这个错误通常发生在尝试访问一个已经被其他进程打开或锁定的文件时。例如,当你试图删除、移动或修改一个正在被程序使用的文件时,系统会抛出这种异常。以下我们将深入探讨这个问题,并提供解决方案。 ### 错误原因...
轻松查看文件被哪个进程使用
06-06
在Windows操作系统中,我们经常会遇到这样的困扰:试图删除一个文件文件夹时,系统提示该文件正在被某个程序使用,无法直接删除。这种情况通常是因为有一个或多个进程正在占用该文件,阻止了我们的操作。不过,...
论文研究-基于文件系统过滤与进程空间的文件访问控制方法 .pdf
08-15
基于文件系统过滤与进程空间的文件访问控制方法,苏格林,张悠慧,本文提出了一种基于文件系统过滤驱动技术的文件访问控制方法,其可以实时监视/记录Windows系统下进程的派生关系,构成树形的进程空�
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8488
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
NtQueryObject 卡死
weixin_33937778的博客
12-19 291
2019独角兽企业重金招聘Python工程师标准>>> ...
[科普]SSDT/SSSDT那些事
zhuhuibeishadiao
05-09 3762
哇,看到很多人找SSDT/SSSDT名称很蛋疼,读ntdll啊什么的,最后index还很乱,github上也有相关的工具,关键字是syscall,也是用ntdll的方式.. 这里科普下吧 以win10为例 x86下 找到ssdt表很简单,ida打开找到后交叉下 会找到KiInitSystem INIT:00998E8E A3 48 93 64 00
TerminateThread不要使用的證據
weixin_33963594的博客
01-24 175
听过无数次不要TerminateThread,只是工作中常用,貌似也没有什么问题。今天在高强度测试中发现了一个不可原谅的错误。参看下面的例子 DWORD __stdcall mythread(void* ){    while( true )    {        char* p = new char[1024];         delete p;    }} int _tmain(in...
强删文件,强杀进程文件注册表穿越
05-16 934
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
简答——进程死锁
adlics_r的博客
12-22 381
什么是进程死锁?造成进程死锁的原因? 如果多个进程同时占有对方需要的资源而同时请求对方的资源,并且在得到请求前不会释放所占有的资源,那么就会导致死锁的发生,也就是进程不能实现同步。 产生死锁的原因可以归结为以下两点: (1)资源竞争;(2)进程间推进顺序非法
JavaScript 音乐播放器及其源代码.zip
最新发布
07-22
项目:带有源代码的 JavaScript 音乐播放器 JavaScript 音乐播放器是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这个项目很有趣。在这里,用户可以通过单击不同颜色的图块来播放不同类型的曲调,并欣赏音乐的声音。此外,用户可以像钢琴一样使用它们来生成不同的曲调。   项目制作 音乐播放器项目仅包含 HTML、CSS 和 JavaScript。谈到该系统的功能,用户可以播放不同类型的音乐。您只需单击不同颜色的图块即可收听音乐。该项目包含大量 JavaScript,用于使项目正常运行。 如何运行该项目? 要运行此项目,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要运行此系统,首先,通过单击 index.html 文件在浏览器中打开项目。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
linux 如何查看文件被哪些进程使用过
04-01
有几种方法可以查看文件被哪些进程使用过。 方法一:使用lsof命令 lsof命令是一款用于显示系统打开文件的工具,可以通过以下命令查看指定文件被哪些进程使用过: ``` lsof /path/to/file ``` 例如,要查看文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值