这个问题困扰了我好几天,今天终于有了结果,将处理过程总结如下。

 1、获取系统管理员权限。

 2、利用zwQuerySystemInformation函数获得计算机上的所有句柄;

 3、遍历第2步发现的句柄,利用OpenProcess函数获取句柄所在进程的句柄。再利用DuplicateHandle函数复制文件句柄。

 4、利用NtQueryObject函数获取句柄所在的文件名。