Проблема в том, что после запуска дочернего процесса с помощью CreateProcess, остановки его и закрытия хэндлов, не удается открыть этот файл вызовом CreateFile. GetLastError дает код ошибки 32(ERROR_SHARING_VIOLATION). Помогите плиз найти ошибку. Вот пример кода: Код (Text): STARTUPINFO si; PROCESS_INFORMATION pi; HANDLE hFile; GetStartupInfo(&si); CreateProcess(lpszFile,NULL,NULL,NULL, FALSE,DEBUG_PROCESS + DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &si, &pi); CloseHandle(pi.hThread); TerminateProcess(pi.hProcess,0); CloseHandle(pi.hProcess); hFile = CreateFile(lpszFile, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
В файл запущеного процесса писать нельзя, поэтому с флагом GENERIC_WRITE открыть не удается. Оставь только GENERIC_READ и тогда будет открываться.
2 overfault как сказал Ms Rem в файл являющейся приложением для присутствуещего в памяти процесса изменять незя... процесс который создан с DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS не уничтожается пока прога дебаггер выполняется... есть мнение что процесс можно отпаять функцией DebugActiveProcessStop а потом кильнуть, но у меня видать старый SDK поэтому компилятор не знает этой функции =( или открывай как посоветовал Ms Rem тока для GENERIC_READ (если для тебя это конечно подходит)
Как я понял из ваших ответов, вызов TerminateProcess останавливает выполнение процесса, но не освобождает файл... Дело в том, что мне необходимо именно редактировать файл после завершения отладки. Файлом является программа, зараженная вирусом с полиморфным дешифратором. Под дебагом я его запускаю для поиска сигнатуры и получения данных для удаления тела вируса из зараженного файла. Я запускаю дезинфектор отдельным процессом из сканера, он создает копию файла и ее отлаживает, затем правит оригинал, а оставшуюся копию удаляет сканер. Но как-то это не очень... Покопаюсь в SDK, может тем временем кто-то подбросит кое-какие идеи, как это реализовать в одном процессе.
Код (Text): DebugActiveProcessStop The DebugActiveProcessStop function stops the debugger from debugging the specified process. BOOL DebugActiveProcessStop( DWORD dwProcessId ); Parameters dwProcessId [in] Identifier of the process to stop debugging. Return Values If the function succeeds, the return value is nonzero. If the function fails, the return value is zero. To get extended error information, call GetLastError. Requirements Client Requires Windows "Longhorn" or Windows XP. Server Requires Windows Server "Longhorn" or Windows Server 2003. Header Declared in Winbase.h; include Windows.h. Library Link to Kernel32.lib. DLL Requires Kernel32.dll. И вправду помогло =) При отсутствии свежего SDK: DWORD _DebugActiveProcessStop = (DWORD) GetProcAddress(LoadLibrary("KERNEL32.DLL"), "DebugActiveProcessStop"); ((BOOL (__stdcall *)(DWORD))_DebugActiveProcessStop)(pi.dwProcessId);
Кстати эта функция использует поля Teb:0F20h,0F24h (DbgSsReserved), закрывает пару хэндлов отлаживаемого процесса и вызывает NtRemoveProcessDebug. Интересно попробовать реализовать ее в win2k
