查看文件是否被其他进程访问

最新推荐文章于 2023-04-10 23:12:49 发布
最新推荐文章于 2023-04-10 23:12:49 发布
阅读量1.2k 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stillfantasy1988/article/details/79669463
版权

项目中写了一个穿网闸文件传输程序,定期扫描指定文件夹,并将文件传输至网闸对侧。但在使用过程中发现部分文件经常被截断传输,实际上程序中对该问题已经做了处理,Linux系统使用lsof命令可以直接插到该文件当前有没有被写入,Windows系统使用尝试重命名文件方式来确定文件有没有被占用。但实际应用中在Windwos环境安装的openssh来提供sftp server,该程序在文件传输过程中,可以随意重命名,甚至删除文件。试了下free sftp,倒是与期望的一样,会独占文件。

为了解决上述问题,有个openfiles命令可以支持,但执行太慢,影响使用。查了相关资料,Windows上没有更好的办法,原则上需要遍历所有进程的内核对象,得到这些内核对象的路径,与文件路径进行比对。

代码如下:

.h

#pragma once
#include "stdafx.h"
#include <stdio.h>
#include <tchar.h>
#include <windows.h>
#include <atlbase.h>
#include <shlwapi.h>
#include <tlhelp32.h>
#include <sys/timeb.h>
#include <strsafe.h>
#include <shellapi.h>
#include <vector>
#include <map>
#include <winternl.h>
#include <psapi.h>
#include <string>
using namespace std;


#pragma comment(lib, "psapi.lib")
#define NT_SUCCESS(status) (status == (NTSTATUS)0x00000000L)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
#define STATUS_BUFFER_OVERFLOW ((NTSTATUS)0x80000005L)
#define SystemHandleInformation ((SYSTEM_INFORMATION_CLASS)16)
#define FileNameInformation ((FILE_INFORMATION_CLASS)9)


typedef std::basic_string<TCHAR, std::char_traits<TCHAR>, std::allocator<TCHAR>> tstring;


typedef struct _OBJECT_NAME_INFORMATION
{
UNICODE_STRING Name;
WCHAR NameBuffer[1];
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;


typedef enum _OBJECT_INFORMATION_CLASS
{
ObjectBasicInformation,
ObjectNameInformation,
ObjectTypeInformation,
ObjectAllInformation,
ObjectDataInformation
} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;


typedef NTSTATUS (WINAPI *NTQUERYOBJECT)(
_In_opt_ HANDLE Handle,
_In_ OBJECT_INFORMATION_CLASS ObjectInformationClass,
_Out_opt_ PVOID ObjectInformation,
_In_ ULONG ObjectInformationLength,
_Out_opt_ PULONG ReturnLength);


typedef struct _SYSTEM_HANDLE
{
DWORD dwProcessId;
BYTE bObjectType;
BYTE bFlags;
WORD wValue;
PVOID pAddress;
DWORD GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;


typedef struct _SYSTEM_HANDLE_INFORMATION
{
DWORD dwCount;
SYSTEM_HANDLE Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;


typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)(
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL);


typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONFILE)(
IN HANDLE FileHandle,
OUT PIO_STATUS_BLOCK IoStatusBlock,
OUT PVOID FileInformation,
IN ULONG Length,
IN FILE_INFORMATION_CLASS FileInformationClass);


class ncScopedHandle
{
ncScopedHandle(const ncScopedHandle&);
ncScopedHandle& operator=(const ncScopedHandle&);
public:
ncScopedHandle(HANDLE handle)
: _handle(handle)
{
}
~ncScopedHandle()
{
if (_handle != NULL)
{
CloseHandle(_handle);
}
}
operator HANDLE() const
{
return _handle;
}
PHANDLE operator& ()
{
return &_handle;
}
void operator=(HANDLE handle)
{
if (_handle != NULL) {
CloseHandle(_handle);
}
_handle = handle;
}
private:
HANDLE _handle;
};
// ncFileHandle
struct ncFileHandle
{
SYSTEM_HANDLE _handle;
tstring _filePath;
tstring _path;
ncFileHandle (SYSTEM_HANDLE handle, const tstring& filePath, const tstring& path)
: _handle (handle)
, _filePath (filePath)
, _path (path)
{
}

};


.cpp

// CheckFileOccupied.cpp : Defines the entry point for the application.
//


#include "stdafx.h"
#include "CheckFileOccupied.h"


// GetDeviceDriveMap
void GetDeviceDriveMap(std::map<tstring, tstring>& mapDeviceDrive)
{
TCHAR szDrives[512];
if (!GetLogicalDriveStrings (_countof(szDrives) - 1, szDrives)) {
return;
}
TCHAR* lpDrives = szDrives;
TCHAR szDevice[MAX_PATH];
TCHAR szDrive[3] = _T(" :");
do {
*szDrive = *lpDrives;
if (QueryDosDevice (szDrive, szDevice, MAX_PATH)) {
mapDeviceDrive[szDevice] = szDrive;
}
while (*lpDrives++);
}
while (*lpDrives);
}


// DevicePathToDrivePath
BOOL DevicePathToDrivePath (tstring& path)
{
static std::map<tstring, tstring> mapDeviceDrive;
if (mapDeviceDrive.empty ()) {
GetDeviceDriveMap (mapDeviceDrive);
}
for (std::map<tstring, tstring>::const_iterator it = mapDeviceDrive.begin (); it != mapDeviceDrive.end (); ++it) {
size_t nLength = it->first.length ();
if (_tcsnicmp (it->first.c_str (), path.c_str (), nLength) == 0) {
path.replace (0, nLength, it->second);
return TRUE;
}
}
return FALSE;
}


// GetHandlePath
BOOL GetHandlePath (HANDLE handle, tstring& path)
{
static NTQUERYOBJECT fpNtQueryObject =
(NTQUERYOBJECT)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryObject");
if (fpNtQueryObject == NULL) {
return FALSE;
}
DWORD dwLength = 0;
OBJECT_NAME_INFORMATION info;
NTSTATUS status = fpNtQueryObject (handle, ObjectNameInformation, &info, sizeof (info), &dwLength);
if (status != STATUS_BUFFER_OVERFLOW) {
return FALSE;
}
POBJECT_NAME_INFORMATION pInfo = (POBJECT_NAME_INFORMATION)malloc(dwLength);
while (true) {
status = fpNtQueryObject (handle, ObjectNameInformation, pInfo, dwLength, &dwLength);
if (status != STATUS_BUFFER_OVERFLOW) {
break;
}
pInfo = (POBJECT_NAME_INFORMATION)realloc(pInfo, dwLength);
}
BOOL bRes = FALSE;
if (NT_SUCCESS(status)) {
path = pInfo->Name.Buffer;
bRes = DevicePathToDrivePath(path);
}
free(pInfo);
return bRes;
}


// GetSystemHandleInfo
PSYSTEM_HANDLE_INFORMATION GetSystemHandleInfo ()
{
static NTQUERYSYSTEMINFORMATION fpNtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQuerySystemInformation");
if (fpNtQuerySystemInformation == NULL)
{
return NULL;
}
DWORD dwLength = 0;
SYSTEM_HANDLE_INFORMATION shi;
NTSTATUS status = fpNtQuerySystemInformation(SystemHandleInformation, &shi, sizeof (shi), &dwLength);
if (status != STATUS_INFO_LENGTH_MISMATCH)
{
return NULL;
}
PSYSTEM_HANDLE_INFORMATION pshi = (PSYSTEM_HANDLE_INFORMATION)malloc(dwLength);
while (true)
{
status = fpNtQuerySystemInformation (SystemHandleInformation, pshi, dwLength, &dwLength);
if (status != STATUS_INFO_LENGTH_MISMATCH)
{
break;
}
pshi = (PSYSTEM_HANDLE_INFORMATION)realloc(pshi, dwLength);
}
if (!NT_SUCCESS (status))
{
free (pshi);
pshi = NULL;
}
return pshi;
}
//
// 检测指定句柄是否可能导致NtQueryObject卡死:
// 1.注意必须使用NtQueryInformationFile而不是NtQueryObject进行检测,否则可能导致WinXP系统
// 下进程死锁而无法结束。
//
void CheckBlockThreadFunc (void* param)
{
static NTQUERYINFORMATIONFILE fpNtQueryInformationFile = (NTQUERYINFORMATIONFILE)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryInformationFile");
if (fpNtQueryInformationFile != NULL)
{
BYTE buf[1024] = {0};
IO_STATUS_BLOCK ioStatus;
fpNtQueryInformationFile((HANDLE)param, &ioStatus, buf, 1024, FileNameInformation);
}
}


// IsBlockingHandle
BOOL IsBlockingHandle (HANDLE handle)
{
HANDLE hThread = (HANDLE)_beginthread(CheckBlockThreadFunc, 0, (void*)handle);
if (hThread == NULL)
{
return FALSE;
}
if (WaitForSingleObject(hThread, 100) != WAIT_TIMEOUT)
{
CloseHandle(hThread);
return FALSE;
}
CloseHandle(hThread);
TerminateThread (hThread, 0); //线程内申请的资源无法回收,周期调用将有内存泄漏
return TRUE; 
}


BYTE GetFileType()
{
// 打开“NUL”文件以便后续获取文件句柄类型值。
ncScopedHandle hTempFile = CreateFile(_T("NUL"), GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, 0);
if (hTempFile == NULL)
{
return FALSE;
}
// 获取当前系统中所有的句柄信息。
PSYSTEM_HANDLE_INFORMATION pshi = GetSystemHandleInfo();
if (pshi == NULL)
{
return FALSE;
}
// 查询当前系统的文件句柄类型值。
BYTE nFileType = 0;
DWORD dwCrtPid = GetCurrentProcessId();
for (DWORD i = 0; i < pshi->dwCount; ++i)
{
if (pshi->Handles[i].dwProcessId == dwCrtPid && hTempFile == (HANDLE)pshi->Handles[i].wValue)
{
nFileType = pshi->Handles[i].bObjectType;
break;
}
}
CloseHandle(hTempFile);
hTempFile = NULL;
return nFileType;
}


// FindFileHandle
BOOL FindFileHandle (HANDLE currentProcess,DWORD watchPid,LPCTSTR lpName,BYTE fileType)
{
BOOL ret = FALSE;


if (lpName == NULL)
{
return ret;
}
PSYSTEM_HANDLE_INFORMATION pshi = GetSystemHandleInfo();
if (pshi == NULL)
{
return ret;
}
for (DWORD i = 0; i < pshi->dwCount; ++i)
{
// 过滤掉非文件类型的句柄。
if (pshi->Handles[i].bObjectType != fileType)
{
continue;
}
if (pshi->Handles[i].dwProcessId != watchPid)
{
continue;
}


ncScopedHandle handle = NULL;
ncScopedHandle hProc = OpenProcess(PROCESS_DUP_HANDLE, FALSE, watchPid);
if (hProc == NULL)
{
continue;
}
// 将上述句柄复制到当前进程中。
if(!DuplicateHandle(hProc, (HANDLE)pshi->Handles[i].wValue, currentProcess, &handle, 0, FALSE, DUPLICATE_SAME_ACCESS))
{
continue;
}
//过滤掉会导致NtQueryObject卡死的句柄(如管道等)。
if (IsBlockingHandle (handle))
{
continue;
}
// 获取句柄对应的文件路径并进行匹配检查。
tstring filePath;
if (GetHandlePath(handle, filePath) && filePath.find(lpName) != tstring::npos)
{
ret = TRUE;
break;
}
}
free(pshi);
return ret;
}


DWORD GetProcessIDByName(_TCHAR* pName)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (INVALID_HANDLE_VALUE == hSnapshot)
{
return NULL;
}
PROCESSENTRY32 pe = { sizeof(pe) };
for (BOOL ret = Process32First(hSnapshot, &pe); ret; ret = Process32Next(hSnapshot, &pe))
{
if (_tcscmp(pe.szExeFile, pName) == 0)
{
CloseHandle(hSnapshot);
return pe.th32ProcessID;
}
}
CloseHandle(hSnapshot);
return 0;
}


int APIENTRY _tWinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPTSTR lpCmdLine,int nCmdShow)
{
int argc = -1;
LPWSTR *argList = NULL;
argList = CommandLineToArgvW(GetCommandLine(), &argc);
if(argList == NULL || argc != 3)
{
return -1;
}

_TCHAR* watchProcess = argList[1];
_TCHAR* filePathName = argList[2];


DWORD watchPid = GetProcessIDByName(watchProcess);
HANDLE currentProcess = GetCurrentProcess();

BYTE fileType = GetFileType();


return FindFileHandle(currentProcess,watchPid,filePathName,fileType);
}



stillfantasy1988
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8490
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
判断一个文件是否正在被其它的程序或进程所调用
11-26
判断一个文件是否正在被其它的程序或进程所调用
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4422
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
C++ 获取指定进程数量 用于判断指定exe程序是否打开
刘千予
06-30 1863
/****************************************************************************************** Function: GetProcessCount Description: 获取指定进程数量 Input: szExeName:进程名称,带.exe后缀 Return: ...
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1179
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
TerminateThread不要使用的證據
weixin_33963594的博客
01-24 175
听过无数次不要TerminateThread,只是工作中常用,貌似也没有什么问题。今天在高强度测试中发现了一个不可原谅的错误。参看下面的例子 DWORD __stdcall mythread(void* ){    while( true )    {        char* p = new char[1024];         delete p;    }} int _tmain(in...
遍历进程内存
qq_41490873的博客
11-30 994
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
查看哪个文件正在被哪个进程打开,占用中
11-17
以下是一些关于如何查看文件被哪个进程占用以及如何处理此类问题的知识点: 1. **任务管理器**: Windows自带的任务管理器提供了一个简单的视图来查看当前运行的进程及其详细信息。在"详细信息"或"服务"标签页下,...
Linux 监控文件被什么进程修改(详解)
09-15
在Linux系统中,有时我们需要确保特定文件不被未经授权的进程修改。为了实现这一目标,Linux提供了审计(Audit)系统,这是一个强大的工具集,用于监控系统活动,包括对文件的修改。下面将详细介绍如何使用Audit来监控...
C#程序提示“正由另一进程使用,因此该进程无法访问文件”的解决办法
09-03
这个错误通常发生在尝试访问一个已经被其他进程打开或锁定的文件时。例如,当你试图删除、移动或修改一个正在被程序使用的文件时,系统会抛出这种异常。以下我们将深入探讨这个问题,并提供解决方案。 ### 错误原因...
好用的工具,可以查看程序访问了哪些文件FileMonNT)
09-25
可以查看程序访问了哪些文件,对于想查一些程序使用了哪些资源很有帮助。
轻松查看文件被哪个进程使用
06-06
在Windows操作系统中,我们经常会遇到这样的困扰:试图删除一个文件文件夹时,系统提示该文件正在被某个程序使用,无法直接删除。这种情况通常是因为有一个或多个进程正在占用该文件,阻止了我们的操作。不过,...
论文研究-基于文件系统过滤与进程空间的文件访问控制方法 .pdf
08-15
基于文件系统过滤与进程空间的文件访问控制方法,苏格林,张悠慧,本文提出了一种基于文件系统过滤驱动技术的文件访问控制方法,其可以实时监视/记录Windows系统下进程的派生关系,构成树形的进程空�
获取进程对应的CPU使用率
oldmtn的专栏
02-18 1755
<br />//这是头文件cpu.h==================<br />#include <stdio.h><br />#include <windows.h><br />#define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004)<br />typedef LONG NTSTATUS;<br />#define Li2Double(x) ((double)((x).HighPart) * 4.294967296E9 + (dou
NtQueryObject 函数
93Storm
04-25 4154
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
句柄泄露
maomao171314的专栏
07-31 3992
介绍   欢迎来到这个调试教程系列的第5篇。在这篇文章,我们会介绍Windows中的句柄,什么是句柄以及怎么调试句柄泄露。在读这篇文章之前,我希望你对前4篇文章掌握的都还不错。这一系列的文章并不是在重复WinDbg/NTSD的帮助文件,而是介绍实实在在的问题,它们是怎么一回事,以及如何解决它们。   什么是句柄   对于一个程序来说,句柄就是设备,文件,或其它一些系统对象或资源的实例。程序
4.3:如何在Python中判断文件是否已经被打开
小兔子平安
04-10 4195
可以使用 try-except 语句来判断文件是否已经被打开。当尝试打开已经被其他程序或者本程序打开文件时,会发生 PermissionError 异常
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 317
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
【python期末/课程设计】电话本管理系统(pycharm项目/Tkinter界面)
最新发布
07-25
电话本管理系统
linux 如何查看文件被哪些进程使用过
04-01
有几种方法可以查看文件被哪些进程使用过。 方法一:使用lsof命令 lsof命令是一款用于显示系统打开文件的工具,可以通过以下命令查看指定文件被哪些进程使用过: ``` lsof /path/to/file ``` 例如,要查看文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值