首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
0
0
[求助]关于监视进程打开的文件问题。
发表于: 2008-9-15 14:06
4918
[求助]关于监视进程打开的文件问题。
oldK
2008-9-15 14:06
4918
最近写个程序要用到一下功能不太明白方法。请大牛门指点下:
1.我要监视一个进程打开的所有文件的情况,如何获得?比如note.exe打开了一个xxx.txt
2.如何判断是否独占和强行关闭。
是否需要写个vxd?或者其他怎么实现。我其实只需要监控,打开,和关闭某个进程对某个文件的处理
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
achillis
雪 币:
7651
活跃值:
(523)
能力值:
( LV9,RANK:610 )
在线值:
发帖
32
回帖
2032
粉丝
47
关注
私信
achillis
15
2
楼
我说下我知道的方法:
1.得到目标进程的pid(这个容易吧?),然后ZwQuerySystemInformation枚举系统中所有句柄,然后判断类型是文件且属于目标进程的(由pid判断)
2.判断是否独占我不清楚,强行关闭可以ZwDuplicateObject,注意最后一个参数使用DUPLICATE_CLOSE_SOURCE,到本进程以后再ZwClose就可以了。
ps:最近在玩Native API,所以前面提到的函数都是Native的~~
2008-9-15 14:14
0
炉子
雪 币:
66
活跃值:
(16)
能力值:
( LV8,RANK:130 )
在线值:
发帖
4
回帖
317
粉丝
1
关注
私信
炉子
3
3
楼
nativeapi是个好东西 除了它们的声明 - -
2008-9-15 21:18
0
nevergone
雪 币:
63
活跃值:
(17)
能力值:
( LV8,RANK:130 )
在线值:
发帖
5
回帖
270
粉丝
0
关注
私信
nevergone
3
4
楼
调用nativeapi时特讨厌写声明写getprocaddress 用asm写
2008-9-15 22:31
0
achillis
雪 币:
7651
活跃值:
(523)
能力值:
( LV9,RANK:610 )
在线值:
发帖
32
回帖
2032
粉丝
47
关注
私信
achillis
15
5
楼
用ntdll sdk就行了
2008-9-16 12:30
0
oldK
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
62
粉丝
0
关注
私信
oldK
6
楼
恩感谢。我看了下nt内核系统有个记录每个pid包含了这些内容
2008-10-1 00:04
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
oldK
13
发帖
62
回帖
10
RANK
关注
私信
他的文章
[求助]关于监视进程打开的文件问题。
4919
[求助]vmp太不厚道了。都是用户我们是1.64.大公司给的1.65
3801
[求助]od如何记录程序自关闭最后执行的汇编命令
2332
[讨论]如何判断数据是汇编命令 还是数据。在分析一个文件的时候
3541
[原创]最近破.net程序写了个简单的IL语言分析编辑工具
5993
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部