Zitat von
himitsu:
OK, GetMappedFileName klingt da wohl wirklich besser, aber ich bin mir sicher, daß es auch mit GetModuleFileName ging ... nja, wäre wohl auch irgendwie etwas logisch, da Beide irgendwie die Adresse, bzw. den Namen, von in den Speicher gemappten Dateien liefern.
Der Mechanismus ist
imho unterschiedlich. GetMappedFileName benutzt NtQueryVirtualMemory um den Namen aufzulösen. GetModuleFileName benutzt dagegen
imho eine Linked List innerhalb des PEB. Wäre mir neu, daß MMFs dort mit eingetragen sind, aber ausschließen mag ich es nicht. Ich werds einfach mal ausprobieren nachher
.
Zitat von
himitsu:
Nja, es war aber auch nur als Beispiel dafür, daß man nicht immer gleich mit Kanonen (Treibern) auf Spatzen (Dateihandles) schießen muß und es auch manchmal ganz einfach geht.
Auch mit NtQueryObject kannst Du einen Teil der Dateihandles auflösen ... aber eben nur einen Teil
.