如何发现哪个进程对文件具有打开句柄?具体来说,你如何以程序化的方式做到这一点?
答案 0 :(得分:1)
可能有一个API,我不知道。如果有,它可能是内核中的API。
另一种可能性(抱歉模糊不清,但我现在回答这个问题,以防其他人发布更好的答案)是没有(记录在案的)API,并且通过使用它来执行此操作的程序句柄内容和/或句柄(当被视为指针时)指向的内存的未记录的知识:例如,我发现A Process' Kernel Object Handle Table,我认为那(人们说他们我记得几年前在Softice手册中读到的那些反向工程无记忆存储器结构。
查找更多信息的地方可能是File System Filter Drivers。
另一种(可能更好)方法可能是使用depends或dumpbin /imports来尝试查看相关的Sysinternals程序正在使用的API。
答案 1 :(得分:-1)