这个问题困扰了我好几天,今天终于有了结果,将处理过程总结如下。
1、获取系统管理员权限。
2、利用zwQuerySystemInformation函数获得计算机上的所有句柄;
3、遍历第2步发现的句柄,利用OpenProcess函数获取句柄所在进程的句柄。再利用DuplicateHandle函数复制文件句柄。
4、利用NtQueryObject函数获取句柄所在的文件名。
转载于:https://blog.51cto.com/upkevin/1180174
这个问题困扰了我好几天,今天终于有了结果,将处理过程总结如下。
1、获取系统管理员权限。
2、利用zwQuerySystemInformation函数获得计算机上的所有句柄;
3、遍历第2步发现的句柄,利用OpenProcess函数获取句柄所在进程的句柄。再利用DuplicateHandle函数复制文件句柄。
4、利用NtQueryObject函数获取句柄所在的文件名。
转载于:https://blog.51cto.com/upkevin/1180174