查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation

最新推荐文章于 2021-10-20 11:08:25 发布
最新推荐文章于 2021-10-20 11:08:25 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: windows 文章标签: NtQuerySystemInforma NtQueryObject 占用 重命名文件被占用 删除文件被占用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w280683395/article/details/46620829
版权
本文介绍了一个用于检测文件占用及系统句柄信息的方法,包括如何通过NTQUERYOBJECT和NTQUERYSYSTEMINFORMATION API获取文件路径,并判断特定句柄是否可能导致NtQueryObject操作卡死。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当你重命名或删除某个文件或文件夹时, 有时候系统提示说:操作无法完成...balabala...; 你怎么知道它被什么占用了,上代码



#pragma once

#include 
   
   
    
    
#include 
    
    
     
     
#include 
     
     
      
      
#include 
      
      
       
       
#include 
       
       
         #include 
        
          #include 
          using namespace std; #include 
          
            typedef std::basic_string 
           
             , std::allocator 
            
              > tstring; #include 
             
               #include 
              
                #pragma comment(lib, "psapi.lib") #define NT_SUCCESS(status) (status == (NTSTATUS)0x00000000L) #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define STATUS_BUFFER_OVERFLOW ((NTSTATUS)0x80000005L) #define SystemHandleInformation ((SYSTEM_INFORMATION_CLASS)16) // NTQUERYOBJECT typedef struct _OBJECT_NAME_INFORMATION { UNICODE_STRING Name; WCHAR NameBuffer[1]; } OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION; typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation } OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS; typedef NTSTATUS (WINAPI *NTQUERYOBJECT)( _In_opt_ HANDLE Handle, _In_ OBJECT_INFORMATION_CLASS ObjectInformationClass, _Out_opt_ PVOID ObjectInformation, _In_ ULONG ObjectInformationLength, _Out_opt_ PULONG ReturnLength); // NTQUERYSYSTEMINFORMATION typedef struct _SYSTEM_HANDLE { DWORD dwProcessId; BYTE bObjectType; BYTE bFlags; WORD wValue; PVOID pAddress; DWORD GrantedAccess; } SYSTEM_HANDLE, *PSYSTEM_HANDLE; typedef struct _SYSTEM_HANDLE_INFORMATION { DWORD dwCount; SYSTEM_HANDLE Handles[1]; } SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION; typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength OPTIONAL); // // NtQueryInformationFile // #define FileNameInformation ((FILE_INFORMATION_CLASS)9) // typedef struct _FILE_NAME_INFORMATION { // ULONG FileNameLength; // WCHAR FileName[1]; // } FILE_NAME_INFORMATION, *PFILE_NAME_INFORMATION; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONFILE)( IN HANDLE FileHandle, OUT PIO_STATUS_BLOCK IoStatusBlock, OUT PVOID FileInformation, IN ULONG Length, IN FILE_INFORMATION_CLASS FileInformationClass); // typedef struct _CLIENT_ID { // HANDLE UniqueProcess; // HANDLE UniqueThread; // } CLIENT_ID, *PCLIENT_ID; // ncScopedHandle class ncScopedHandle { ncScopedHandle(const ncScopedHandle&); ncScopedHandle& operator=(const ncScopedHandle&); public: ncScopedHandle(HANDLE handle) : _handle(handle) { } ~ncScopedHandle() { if (_handle != NULL) { CloseHandle(_handle); } } operator HANDLE() const { return _handle; } PHANDLE operator& () { return &_handle; } void operator=(HANDLE handle) { if (_handle != NULL) { CloseHandle(_handle); } _handle = handle; } private: HANDLE _handle; }; // ncFileHandle struct ncFileHandle { SYSTEM_HANDLE _handle; tstring _filePath; tstring _path; ncFileHandle (SYSTEM_HANDLE handle, const tstring& filePath, const tstring& path) : _handle (handle) , _filePath (filePath) , _path (path) { } }; // GetDeviceDriveMap void GetDeviceDriveMap(std::map 
               
                 & mapDeviceDrive) { TCHAR szDrives[512]; if (!GetLogicalDriveStrings (_countof(szDrives) - 1, szDrives)) { return; } TCHAR* lpDrives = szDrives; TCHAR szDevice[MAX_PATH]; TCHAR szDrive[3] = _T(" :"); do { *szDrive = *lpDrives; if (QueryDosDevice (szDrive, szDevice, MAX_PATH)) { mapDeviceDrive[szDevice] = szDrive; } while (*lpDrives++); } while (*lpDrives); } // DevicePathToDrivePath BOOL DevicePathToDrivePath (tstring& path) { static std::map 
                
                  mapDeviceDrive; if (mapDeviceDrive.empty ()) { GetDeviceDriveMap (mapDeviceDrive); } for (std::map 
                 
                   ::const_iterator it = mapDeviceDrive.begin (); it != mapDeviceDrive.end (); ++it) { size_t nLength = it->first.length (); if (_tcsnicmp (it->first.c_str (), path.c_str (), nLength) == 0) { path.replace (0, nLength, it->second); return TRUE; } } return FALSE; } // GetHandlePath BOOL GetHandlePath (HANDLE handle, tstring& path) { static NTQUERYOBJECT fpNtQueryObject = (NTQUERYOBJECT)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryObject"); if (fpNtQueryObject == NULL) { return FALSE; } DWORD dwLength = 0; OBJECT_NAME_INFORMATION info; NTSTATUS status = fpNtQueryObject (handle, ObjectNameInformation, &info, sizeof (info), &dwLength); if (status != STATUS_BUFFER_OVERFLOW) { return FALSE; } POBJECT_NAME_INFORMATION pInfo = (POBJECT_NAME_INFORMATION)malloc(dwLength); while (true) { status = fpNtQueryObject (handle, ObjectNameInformation, pInfo, dwLength, &dwLength); if (status != STATUS_BUFFER_OVERFLOW) { break; } pInfo = (POBJECT_NAME_INFORMATION)realloc(pInfo, dwLength); } BOOL bRes = FALSE; if (NT_SUCCESS(status)) { path = pInfo->Name.Buffer; bRes = DevicePathToDrivePath(path); } free(pInfo); return bRes; } // GetSystemHandleInfo PSYSTEM_HANDLE_INFORMATION GetSystemHandleInfo () { static NTQUERYSYSTEMINFORMATION fpNtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQuerySystemInformation"); if (fpNtQuerySystemInformation == NULL) { return NULL; } DWORD dwLength = 0; SYSTEM_HANDLE_INFORMATION shi; NTSTATUS status = fpNtQuerySystemInformation (SystemHandleInformation, &shi, sizeof (shi), &dwLength); if (status != STATUS_INFO_LENGTH_MISMATCH) { return NULL; } PSYSTEM_HANDLE_INFORMATION pshi = (PSYSTEM_HANDLE_INFORMATION)malloc(dwLength); while (true) { status = fpNtQuerySystemInformation (SystemHandleInformation, pshi, dwLength, &dwLength); if (status != STATUS_INFO_LENGTH_MISMATCH) { break; } pshi = (PSYSTEM_HANDLE_INFORMATION)realloc(pshi, dwLength); } if (!NT_SUCCESS (status)) { free (pshi); pshi = NULL; } return pshi; } // // 检测指定句柄是否可能导致NtQueryObject卡死: // 1.注意必须使用NtQueryInformationFile而不是NtQueryObject进行检测,否则可能导致WinXP系统 // 下进程死锁而无法结束。 // void CheckBlockThreadFunc (void* param) { static NTQUERYINFORMATIONFILE fpNtQueryInformationFile = (NTQUERYINFORMATIONFILE)GetProcAddress (GetModuleHandle (_T("ntdll")), "NtQueryInformationFile"); if (fpNtQueryInformationFile != NULL) { BYTE buf[1024]; IO_STATUS_BLOCK ioStatus; fpNtQueryInformationFile ((HANDLE)param, &ioStatus, buf, 1024, FileNameInformation); } } // IsBlockingHandle BOOL IsBlockingHandle (HANDLE handle) { HANDLE hThread = (HANDLE)_beginthread(CheckBlockThreadFunc, 0, (void*)handle); if (WaitForSingleObject (hThread, 100) != WAIT_TIMEOUT) { return FALSE; } TerminateThread (hThread, 0); return TRUE; } // FindFileHandle BOOL FindFileHandle (LPCTSTR lpName, vector 
                  
                    & handles) { handles.clear (); if (lpName == NULL) { return FALSE; } // 打开“NUL”文件以便后续获取文件句柄类型值。 ncScopedHandle hTempFile = CreateFile (_T("NUL"), GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, 0); if (hTempFile == NULL) { return FALSE; } // 获取当前系统中所有的句柄信息。 PSYSTEM_HANDLE_INFORMATION pshi = GetSystemHandleInfo (); if (pshi == NULL) { return FALSE; } // 查询当前系统的文件句柄类型值。 BYTE nFileType = 0; DWORD dwCrtPid = GetCurrentProcessId (); for (DWORD i = 0; i < pshi->dwCount; ++i) { if (pshi->Handles[i].dwProcessId == dwCrtPid && hTempFile == (HANDLE)pshi->Handles[i].wValue) { nFileType = pshi->Handles[i].bObjectType; break; } } HANDLE hCrtProc = GetCurrentProcess (); for (DWORD i = 0; i < pshi->dwCount; ++i) { // 过滤掉非文件类型的句柄。 if (pshi->Handles[i].bObjectType != nFileType) { continue; } // 将上述句柄复制到当前进程中。 ncScopedHandle handle = NULL; ncScopedHandle hProc = OpenProcess (PROCESS_DUP_HANDLE, FALSE, pshi->Handles[i].dwProcessId); if (hProc == NULL || !DuplicateHandle (hProc, (HANDLE)pshi->Handles[i].wValue, hCrtProc, &handle, 0, FALSE, DUPLICATE_SAME_ACCESS)) { continue; } // 过滤掉会导致NtQueryObject卡死的句柄(如管道等)。 if (IsBlockingHandle (handle)) { continue; } // 获取句柄对应的文件路径并进行匹配检查。 tstring filePath; if (GetHandlePath (handle, filePath) && filePath.find (lpName) != tstring::npos) { ncScopedHandle hProcess = OpenProcess(MAXIMUM_ALLOWED, FALSE, pshi->Handles[i].dwProcessId); TCHAR szProcName[MAX_PATH]; GetProcessImageFileName (hProcess, szProcName, MAX_PATH); tstring path (szProcName); DevicePathToDrivePath(path); ncFileHandle fh (pshi->Handles[i], filePath, path); handles.push_back (fh); } } free(pshi); return TRUE; } // BOOL CloseHandleEx (HANDLE handle, DWORD dwPid) // { // if (GetCurrentProcessId () == dwPid) // return CloseHandle (handle); // // ncScopedHandle hProcess = OpenProcess (PROCESS_DUP_HANDLE, FALSE, dwPid); // if (hProcess == NULL) // return FALSE; // // return DuplicateHandle (hProcess, handle, GetCurrentProcess (), NULL, 0, FALSE, DUPLICATE_CLOSE_SOURCE); // } // main int _tmain(int argc, _TCHAR* argv[]) { tstring path (_T("E:\\TDDOWNLOAD\\")); vector 
                   
                     vecHandles; if (!FindFileHandle(path.c_str(), vecHandles)) { return -1; } return 0; }

[原创]再谈 unlocker 编程”探险”及工作原理
享受开发,颠倒银河
11-10 1万+
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object classid
开发知识点-C++入门到入土知识手册
最新发布
aming小老弟
10-18 1191
指针经典笔试题练习题讲解typedef笔试题多个源文件-理论多个源文件-实践PBC++简述C++标准C++的应用场景第一个C++程序const修饰普通变量const修饰成员变量const修饰成员函数const修饰对象const修饰引用onst修饰函数返回值为普通变量和对象const修饰函数返回值为const的指针const修饰函数返回值为const的引用extern c的使用_cplusplus的使用string对象的构造方法string对象的赋值。
查看哪个文件正在被哪个进程打开,占用
11-17
查看哪个文件正在被哪个exe打开,占用
使用NtQueryInformationFile函数获得不到完整路径
weixin_33729196的博客
01-22 427
#include <windows.h> #include <iostream> using namespace std; typedef struct _OBJECT_NAME_INFORMATION { WORD Length; WORD MaximumLength; LPWSTR Buffer; } OBJECT_NAME...
c++ WinAPI 获取文件占用进程信息
shenmingyi.blog.csdn.net
10-20 4551
如题 比如我们删除某个文件中,如果文件占用的话是删除不掉的,那么替换操作啥都不行 故要实现这个提前检测有哪些被占用了, 已经被哪个进程占用的. 我这个需求就是检测dll被哪个进程占用的 总结了3种解决方案 1. 通过拍进程快照,然后遍历每个进程上面dll module, 然后dll 名字匹配的形式. 这里引发了一个问题, 我这个进程是32位的,然后我的dll 有64 和32位的, 拍进程快照的方式 32位进程 只能读32位进程的dll模块信息 当遍历的目标进程是64位时 会lasterror 为299
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6455
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
NtQueryObject 函数
93Storm
04-25 4269
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
分析-ReadFile读取物理磁盘参数错误(87)问题
柳似烟的专栏
06-18 3584
Windows读取物理磁盘很简单,通过文件操作相关API即可实现,如: handle = CreateFileA("\\\\.\\physicaldrive0",...); ReadFile(handle,...); CloseHandle(handle);
NtQueryObject 卡死
weixin_33937778的博客
12-19 362
2019独角兽企业重金招聘Python工程师标准>>> ...
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1363
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1747
之所以产生这个想法,是在删除文件的时候有时会提示文件占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
查看文件是否被其他进程访问
03-23 1272
项目中写了一个穿网闸文件传输程序,定期扫描指定文件夹,并将文件传输至网闸对侧。但在使用过程中发现部分文件经常被截断传输,实际上程序中对该问题已经做了处理,Linux系统使用lsof命令可以直接插到该文件当前有没有被写入,Windows系统使用尝试重命名文件方式来确定文件有没有被占用。但实际应用中在Windwos环境安装的openssh来提供sftp server,该程序在文件传输过程中,可以随意重...
NtQuerySystemInformation参数详解
热门推荐
oldmtn的专栏
02-14 2万+
NtQuerySystemInformation函数,其中SystemBasicInformation(0号功能)返回的结果是一个SYSTEM_BASIC_INFORMATION结构,其中的域bKeNumberProcessors将返回系统CPU的个数。 下面是该函数的具体说明: /×---------------------------------------------------
操作系统[系统学习二]
weixin_40996518的博客
09-09 622
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
Windows文件系统过滤驱动开发教程
09-29 918
作者,楚狂人自述我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。我的理解未必正确,有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为MFC_Tan_Wen@163.com,QQ为16191935。对于这本教程,您可以免费获
Delphi进程管理:探索进程文件句柄关联
为了获取有关进程的详细信息,如进程名称或进程关联的文件,开发者通常会使用`NtQuerySystemInformation`或`NtQueryObject`函数。`NtQuerySystemInformation`能够提供关于系统信息的广泛细节,包括进程信息。而`...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值