какой процесс открывает файл?

amvoz · Jan 3, 2011

Друзья! Вот стоит передо мной такая задача, не знаю, с чего начать. google принимает мой запрос как вопрос "не удаляется файл, как узнать, какой процесс его использует"? И даёт обсуждалово программ типа unlocker

А мне надо именно узнать, какой процесс открывает файл. Обратную задачу я бы попытался решить сам, перехватив CreateFile, а тут не знаю, что и делать. Да, ещё. Готовые утилиты не подойдут, нужны исходники, советы или api-функции, спасибо!

artkar · Jan 3, 2011

Установи аудит. Средства Виндоус позволяют это сделать, а потом в логах посмотри там всё будет и процесс и время и т.п.

amvoz · Jan 3, 2011

НАдо же такому случиться. что у меня как раз Windows XP Home Edition.
А на ней средства аудита отсутствуют...
http://support.microsoft.com/kb/310399/ru

Z3N · Jan 3, 2011

amvoz
Утилита есть же... unhooker вроде как завётся

n0name · Jan 3, 2011

хендлы перечислить.

Z3N · Jan 3, 2011

amvoz
Сори, Unlocker

Com[e]r · Jan 3, 2011

в статьях васма есть прекрасная статья с готовым кодом под данную задачу:
кейвордс - SYSTEM_HANDLE, FILE_HANDLE,
если же нужно логирование - хукай(охлол, буквы перепутал)) критфайл.

JCronuz · Jan 3, 2011

http://www.wasm.ru/article.php?article=hiddndt

Получение списка процессов по списку открытых хэндлов.

Многие программы скрывающие процесс, не скрывают открытые им хэндлы, следовательно перечислив открытые хэндлы через ZwQuerySystemInformation мы можем построить список процессов.
{
Получение списка процессов по списку открытых хэндлов.
Возвращает только ProcessId.
}
procedure GetHandlesProcessList(var List: PListStruct);
var
Info: PSYSTEM_HANDLE_INFORMATION_EX;
NewItem: PProcessRecord;
r: dword;
OldPid: dword;
begin
OldPid := 0;
Info := GetInfoTable(SystemHandleInformation);
if Info = nil then Exit;
for r := 0 to Info^.NumberOfHandles do
if Info^.Information[r].ProcessId <> OldPid then
begin
OldPid := Info^.Information[r].ProcessId;
GetMem(NewItem, SizeOf(TProcessRecord));
ZeroMemory(NewItem, SizeOf(TProcessRecord));
NewItem^.ProcessId := OldPid;
AddItem(List, NewItem);
end;
VirtualFree(Info, 0, MEM_RELEASE);
end;

На этом этапе уже можно кое-что обнаружить. Но полагаться на результат такой проверки не стоит, так как скрыть открытые процессом хэндлы ничуть не сложнее, чем скрыть сам процесс, просто многие забывают это делать.
Click to expand...

перечесление хэндлов

amvoz · Jan 3, 2011

Всем спасибо, Z3N, при всём уважении, unlocker это не то. Эта штука удаляет файлы и показывает какой процесс их использует.
А у меня ситуация: файл был открыт (на запись) и ЗАКРЫТ. ЧЕМ? Тут уж никакой unlocker не поможет. Да и вроде как скептически отнёсся к упоминанию этой проги в первом сообщении.
Может, вопрос надо было поставить: "какая прога открыла и закрыла файл"

JCronuz спасибо, но не то.

А вообще у меня файл hosts перезаписывается, вот я и хотел отловить гада, кто в нём ковыряется.!

RamMerLabs · Jan 3, 2011

Про Filemon забыли?

Booster · Jan 3, 2011

Ну так перехватите ядерную CreateFile.

n0name · Jan 3, 2011

> Может, вопрос надо было поставить: "какая прога открыла и закрыла файл"
постфактум - чаще всего никак.
есть конечно вырожденные случаи, но в качестве общего решения не катят.

artkar · Jan 3, 2011

Могу порекомендовать на .NET сделать программулю раз у тебя Хом Эдишн. Сам никогда не пользовался но вспомнил что у .NET есть нэймспэйс -Вотчер и есть пример в мсдэне, даже на русском:
http://msdn.microsoft.com/ru-ru/library/system.io.filesystemwatcher.aspx
Если это не слишком запарно то можешь слабать...

GoldFinch · Jan 3, 2011

правильно, даёш дотнет в массы!

Booster · Jan 3, 2011

filesystemwatcher следит за файлами, а не за хендлами процессов. "Лабать" бессмысленно.

artkar · Jan 3, 2011

filesystemwatcher следит за файлами, а не за хендлами процессов.
Click to expand...

А ну может быть, что то не нашел в аргументах ссылки на процесс
Вар отпадает

Z3N · Jan 4, 2011

amvoz
Ой, сорри, что-то я не доглядел....

amvoz

А у меня ситуация: файл был открыт (на запись) и ЗАКРЫТ. ЧЕМ?
Click to expand...

Не понимаю, чем вам филимон не подходит? Он ещё и место в коде покажет, с которого был открыт/закрыт файл. Кстати, если я ничего не путаю, то исходники филимона есть в паблике. Надеюсь, что на этот раз я сказал что-то в тему

Log in or Sign up

какой процесс открывает файл?

amvoz Member

artkar New Member

amvoz Member

Z3N New Member

n0name New Member

Z3N New Member

Com[e]r Com[e]r

JCronuz New Member

amvoz Member

RamMerLabs Well-Known Member

Booster New Member

n0name New Member

artkar New Member

GoldFinch New Member

Booster New Member

artkar New Member

Z3N New Member

Log in or Sign up

какой процесс открывает файл?

amvoz Member

artkar New Member

amvoz Member

Z3N New Member

n0name New Member

Z3N New Member

Com[e]r Com[e]r

JCronuz New Member

amvoz Member

RamMerLabs Well-Known Member

Booster New Member

n0name New Member

artkar New Member

GoldFinch New Member

Booster New Member

artkar New Member

Z3N New Member

Useful Searches