win7怎么获得特定进程所打开的文件信息-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 2 楼好吧昨天晚上我答应你的其实乍一看这个题目我也不会做我今天查了好久终于不太圆满的解决了。。。我能获得的路径有些没有盘符我不知道该怎么办。。。大体就先这样吧我想说的是好多的问题应该先查查自己动手实践实践如果憋了几天都憋不出来再来问问题。好多东西自己动动手就能搞定的就怕你懒上传的附件： src.rar （104.90kb，75次下载）相关资料.zip （38.17kb，59次下载）未命名.jpg （157.58kb，195次下载） 2011-2-22 17:55 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼伤心了辛苦了半天给弄出来还不结贴还不给分。 2011-2-23 20:12 0
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 98 粉丝 0 关注私信	hzactivex 4 楼呵呵，给分就是了 2011-2-23 20:25 0
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 98 粉丝 0 关注私信	hzactivex 5 楼不过发现还是没有解决我的问题，我只是想从用户层看看，有啥方法获得某个进程打开的文件，目前这种方式，其实和从内核层获取这个信息，没什么两样。不过想想，其实也是一回事。哈哈 2011-2-23 20:28 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 6 楼那你就hook createfile 的相关函数咯。。。那样的话不一定能全面因为你hook的时候有可能已经打开了那样就hook不到了。在创建进程的时候hook 还差不多。 2011-2-23 20:47 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 7 楼 NtQuerySystemInformation, ring3也能调用 ntdll.dll 有导出 NtQuerySystemInformation 传 SystemHandleInformation 2011-2-23 21:22 0
torpedoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	torpedoo 8 楼 NtQuerySystemInformation 详细说明： http://msdn.microsoft.com/en-us/library/ms724509(VS.85).aspx 枚举进程打开的文件，MSDN也有详细示例： http://msdn.microsoft.com/en-us/library/ms682621(v=VS.85).aspx 2011-2-27 10:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 2 楼好吧昨天晚上我答应你的其实乍一看这个题目我也不会做我今天查了好久终于不太圆满的解决了。。。我能获得的路径有些没有盘符我不知道该怎么办。。。大体就先这样吧我想说的是好多的问题应该先查查自己动手实践实践如果憋了几天都憋不出来再来问问题。好多东西自己动动手就能搞定的就怕你懒上传的附件： src.rar （104.90kb，75次下载）相关资料.zip （38.17kb，59次下载）未命名.jpg （157.58kb，195次下载） 2011-2-22 17:55 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼伤心了辛苦了半天给弄出来还不结贴还不给分。 2011-2-23 20:12 0
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 98 粉丝 0 关注私信	hzactivex 4 楼呵呵，给分就是了 2011-2-23 20:25 0
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 98 粉丝 0 关注私信	hzactivex 5 楼不过发现还是没有解决我的问题，我只是想从用户层看看，有啥方法获得某个进程打开的文件，目前这种方式，其实和从内核层获取这个信息，没什么两样。不过想想，其实也是一回事。哈哈 2011-2-23 20:28 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 6 楼那你就hook createfile 的相关函数咯。。。那样的话不一定能全面因为你hook的时候有可能已经打开了那样就hook不到了。在创建进程的时候hook 还差不多。 2011-2-23 20:47 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 7 楼 NtQuerySystemInformation, ring3也能调用 ntdll.dll 有导出 NtQuerySystemInformation 传 SystemHandleInformation 2011-2-23 21:22 0
torpedoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	torpedoo 8 楼 NtQuerySystemInformation 详细说明： http://msdn.microsoft.com/en-us/library/ms724509(VS.85).aspx 枚举进程打开的文件，MSDN也有详细示例： http://msdn.microsoft.com/en-us/library/ms682621(v=VS.85).aspx 2011-2-27 10:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复