首页
社区
课程
招聘
[求助]关于监视进程打开的文件问题。
发表于: 2008-9-15 14:06 4918

[求助]关于监视进程打开的文件问题。

2008-9-15 14:06
4918
最近写个程序要用到一下功能不太明白方法。请大牛门指点下:

1.我要监视一个进程打开的所有文件的情况,如何获得?比如note.exe打开了一个xxx.txt
2.如何判断是否独占和强行关闭。

是否需要写个vxd?或者其他怎么实现。我其实只需要监控,打开,和关闭某个进程对某个文件的处理

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
我说下我知道的方法:
1.得到目标进程的pid(这个容易吧?),然后ZwQuerySystemInformation枚举系统中所有句柄,然后判断类型是文件且属于目标进程的(由pid判断)
2.判断是否独占我不清楚,强行关闭可以ZwDuplicateObject,注意最后一个参数使用DUPLICATE_CLOSE_SOURCE,到本进程以后再ZwClose就可以了。

ps:最近在玩Native API,所以前面提到的函数都是Native的~~
2008-9-15 14:14
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
nativeapi是个好东西  除了它们的声明 - -
2008-9-15 21:18
0
雪    币: 63
活跃值: (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
调用nativeapi时特讨厌写声明写getprocaddress 用asm写
2008-9-15 22:31
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
用ntdll sdk就行了
2008-9-16 12:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
恩感谢。我看了下nt内核系统有个记录每个pid包含了这些内容
2008-10-1 00:04
0
游客
登录 | 注册 方可回帖
返回
//