|
Prozesse oder Anwendungen ermitteln, die eine Datei benutzen
schönen guten Abend,
Manchmal wenn ich versuche Dateien zu ändern oder zu löschen (... versenden, mit anderen Programmen öffnen usw usw usw...) bekomme ich von Windows eine Meldung irgendwie "Datei kann nicht gelöscht werden, sie wird noch von einer anderen Anwendung verwendet, schließen sie diese Anwendung und versuchen sie es später nochmal ..." (oder igendwie so sinngemäß, den Wortlaut habe ich jezt nichtmehr 100% im Kopf) Da mich solche Probleme desöfteren mal nerven, wollte ich mal fragen ob es irgendwie möglich ist Prozesse oder Anwendungen zu ermitteln, die eine bestimmte Datei benutzen (also grade geöffnet haben). Ich bräuchte da nur nen paar Ideen WO bzw WIE ich das auslesen kann ... (Windows muss ja auch irgendwie merken, dass die Datei verwendet wird ... ich hoffe es lässt sich da auch iregndwie rausfinden von "WEM" (hauptsächlich interessiert mich wie gesagt der Prozess oder die Anwendung (wenn das damit gleich mit möglich ist, wär' der Benutzer auch noch recht interessant) ) [vielen Dank für's lesen] Ich bin für alle Vorschläge dankbar! EDIT: falls hier ein Profi sein sollte, der könnte mit vllt. auchnoch ne Idee sagen, ob das möglich wär' Windows einfach zu sagen "nein die Datei wird nicht verwendet, vergess das einfach!" (dabei bin ich mir nicht ganz sicher ob das vllt. Fehler produzieren kann, denn dagegen ist diese "Markierung" ja eigendlich ...) [naja das ist ja aber auch mehr nebensache, da man wenn man die verantwortlichen Prozesse oder Anwendungen kennt, das ja sowiso meistens beheben kann ...] /EDIT |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Die Lösung ist wohl ein dateisystem-Filter-Treiber. Auf Sysinternals findest du ein Programm dass das kann. filemon oder so ähnlich.
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Hi,
Da gbibts das Programm  WhoLockMe.Dann hast Du einen neuen Kontextmenü-Eintrag im Explorer, mit du prüfen kannst, welche Programm die angegebene Datei komplett sperren. mfG mirage228 |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
vielen Dank!
Mit Filemon hatte ich auchnoch irgendwo im Hinterkopf, aber das produzierte mir immer so viele Informationen, die das dann unübersichtlich gestaltet haben ... Dieses "WhoLockMe" macht genau das, was ich mir da vorgestellt hatte :) Zwar nicht selbst programmiert, aber ich denke das wird mir für's erste genügen. [Eigendliche Frage beantwortet] |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Interessant.
Weis jemand wie diese Unlock-Funktion funktioniert? |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@Mackhack:
Genau die selbe Frage habe ich mir auch seit einigen Tagen gestellt. Wie finde ich den Prozess raus. Vielleicht kommen wir ja noch auf ne Lösung. Zwei Köpfe sind mehr als einer 2 > 1 w.z.b.w... Werde mal ein bisschen dem wirklich guten Tool Unlocker auf die Finger schauen, was es so macht. :coder: |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Nimm dir einen Disassembler und Debugger und guck nach, was er für API-Funktionen aufruft.
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@Luckie:
Schläfst du nie? Mach ich schon. Sitz gerad an PEiD und schmöcker ein bisschen in Unlocker. Mal schauen wieviele Funktionen dann noch übrig bleiben... :gruebel: |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Habe mir mal die Funktionen von Unlocker
und auch von WhoLockme angeschaut, da beide Programme ähnlich arbeiten. (Links dazu oben) Habe mal die Funktionen aufgelistet, die beide gemeinsam haben und mir entweder so nichts sagen oder die speziell mit dem Problem: Welcher Prozess blockt die Datei?, zu tun haben. Das sind die Parallelen, die BEIDE Programme haben und wohl am Auslesen beteiligt sind.
Delphi-Quellcode:
kenn ich nicht - hab ich aber auch noch nicht nachgeschlagen:
GetFileAttributes
GetModuleHandle GetProcAddress
Delphi-Quellcode:
So, hab noch zu tun - aber vielleicht hat ja noch jemand nen Hinweis auf die weitere Bearbeitung des Problems. :wall:
DisableThreadLibraryCalls
InterlockedIncrement InterlockedDecrement |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Hallo,
weis eigentlich jemand genaueres wie dieses Programm funktioniert? |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
GetProcAddress und GetModuleHandle kannst du rauslassen, da sie nur dazu dienen andere Funktionen zu importieren. Somit müsstest du im Debugger genau nachsehen, welche Funktionen das sind. Es können theoretisch alle APIs sein. GetFileAttributes ist denke ich auch keine der Schlüsselfunktionen.
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Die Interlocked-Funktionen fallen auch raus (das sind im Grunde nur die threadsicheren versionen von Inc und Dec)
und DisableThreadLibraryCalls hat nichts Dateien zu tun. Bleibt dir also wirklich nur mitzuverfolgen welche Funktionen/Prozeduren von GetProcAddress importiert werden. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Hab da was gefunden, was euch vielleicht etwas weiterbringen kann.
Vielleicht setz ich mich auch mal dran ;)  http://www.codeguru.com/Cpp/W-P/file...cle.php/c1287/Jetzt müsstet ihr noch die Funktion raussuchen, welche die Handles eines Programmes anzeigen kann. Dann könntet ihr diese auch Schliessen. Kleine Anmerkung: Wenn ihr es macht, dass ihr die Handles bekommt, dann könnt ihr auch direkt über das Handle die Datei auslesen! MfG Felix ;) |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Moin Felix,
erst einmal herzlich willkommen hier in der Delphi-PRAXiS. Nur mal interessehalber: Hast Du den Codeabschnitt auf den Dein Link verweist mal unter Vista ausprobiert? Da dort die Startadressen der DLLs nicht mehr immer an der gleichen Stelle liegen sollen, dürfte es dort eigentlich nicht mehr funktionieren, da sich dadurch ja die Startadresse der Kernel32.dll, und somit auch die der enthaltenen Funktionen verschieben, womit dann die Adresse von CloseHandle im eigenen Prozess eine andere ist als die im Remote-Prozess. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Ich bin sicher sowohl andere Treiber als auch andere Prozesse werden es wirklich schätzen, wenn ihnen der Boden (lies: Handle) unter den Füssen weggezogen wird. Weiter so :roll:
Interessanter sind übrigens die Funktionen welche sie nicht gemeinsam haben :zwinker: |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
Im übrigen ist der Link doch wirklich hilfreich. Da ich selbst wenig mit C zu tun habe, bin ich nicht in der Lage ihn 1:1 zu übersetzen. Ich brauche eigentlich nur eine Liste ALLER Dateien (nicht nur die Module...) vom Prozess XY, die momentan verwendet werden. Wie gehts weiter? Ich hab alle PIDs und TIDs und alle Rechte und mir reicht wenn es auf XP läuft. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Da mir das Thema nicht aus dem Kopf geht, werde ich in geraumer Zeit einige Fortschritte hier posten,
hoffe das wir der Lsg dann Näher kommen. Ich halte nochmal fest: ZIEL: eine X-beliebige Datei (nicht nur dll, exe) soll überprüft werden, von welchem Prozess sie gerade benutzt wird. AUFGABE: Ermitteln des HANDLE der Datei (und ich rede hier nicht von den Fensterhandles) Verwirklicht wurde das schon im Programm Unlocker und im C++ SourceCode codeguru.comDesweiteren ist das bloße Anzeigen des speziellen Handles definiv ONHE Treiberdatei möglich. (im Gegensatz zu Unlocker) Es reicht wenn es unter XP läuft. FORTSCHRITT: meine Delphi Übersetzung: Hier soll ein Prozess per PID überprüft werden, und ALLE seine Handleverknüpfungen angezeigt werden. Ich bekomme auch eine Zahl, die im Bereich der Handles liegt zurück, kann sie aber nicht zuordnen.
Delphi-Quellcode:
der Original C++ Code
(*
Note: 1. SE_DEBUG privilege must be enabled. OK 2. The function works with every kind of HANDLE 3. It will bother the remote process :) 4. The handles will be invalid after you closed OK them remotely *) function CloseRemoteHandle(processID: DWORD; lpparameter: pointer ):DWORD; var ht :THANDLE; rc : DWORD; hProcess: THandle; hKernel32: cardinal; begin TRY lpparameter:= nil; ht:=0; rc:=0; // open the process HPROcESS:= OpenProcess(PROCESS_CREATE_THREAD or PROCESS_VM_OPERATION or PROCESS_VM_WRITE or PROCESS_VM_READ, FALSE, processID); if hProcess = 0 then showmessage('hprocess ist null'); //tritt nicht ein // load kernel32.dll hKernel32 := LoadLibrary('kernel32.dll'); // CreateRemoteThread() ht := CreateRemoteThread( hProcess, 0, 0, GetProcAddress(hKernel32, 'CloseHandle'), lpparameter, //////was mach ich hiermit????? 0, rc ); if ht =0 then begin rc := GetLastError(); showmessage('ht ist null'); //tritt nicht ein end; case WaitForSingleObject(ht, 2000) of WAIT_OBJECT_0: begin end; //OK else rc := GetLastError(); //tritt nicht ein showmessage('Fehler WaitForSingle:'); end; FINALLY result:= rc; showmessage('rc :'+ inttostr(rc)+' ht :'+ inttostr(ht)) //zum Anzeigen der Werte CloseHandle(ht); //Free up the kernel32.dll if hKernel32 <> 0 then FreeLibrary(hKernel32); CloseHandle(hProcess); END; end; procedure Tform1.Button1Click(Sender: TObject); var PID: cardinal; begin PID:= ....; CloseRemoteHandle(PID, 0); //die null is auch nicht astrein... end;
Delphi-Quellcode:
FRAGE: Ist die Übersetzung soweit in Ordnung? Irgendwelche konstruktiven Anregungen?
/*
Note: 1. SE_DEBUG privilege must be enabled. 2. The function works with every kind of HANDLE 3. It will bother the remote process :) 4. The handles will be invalid after you closed them remotely */ //Close a handle in a remote process DWORD CloseRemoteHandle( DWORD processID, HANDLE handle ) { HANDLE ht = 0; DWORD rc = 0; _tprintf( _T("Closing handle in process #%d ... "), processID ); // open the process HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, processID ); if ( hProcess == NULL ) { rc = GetLastError(); _tprintf( _T("OpenProcess() failed\n") ); return rc; } // load kernel32.dll HMODULE hKernel32 = LoadLibrary( _T("kernel32.dll") ); // CreateRemoteThread() ht = CreateRemoteThread( hProcess, 0, 0, (DWORD(__stdcall *)(void*))GetProcAddress(hKernel32,"CloseHandle"), handle, 0, &rc ); if ( ht == NULL ) { //Something is wrong with the privileges, //or the process doesn't like us rc = GetLastError(); _tprintf( _T("CreateRemoteThread() failed\n") ); goto cleanup; } switch ( WaitForSingleObject( ht, 2000 ) ) { case WAIT_OBJECT_0: //Well done rc = 0; _tprintf( _T("Ok\n"), rc ); break; default: //Oooops, shouldn't be here rc = GetLastError(); _tprintf( _T("WaitForSingleObject() failed\n") ); goto cleanup; break; } cleanup: //Closes the remote thread handle CloseHandle( ht ); //Free up the kernel32.dll if ( hKernel32 != NULL) FreeLibrary( hKernel32 ); //Close the process handle CloseHandle( hProcess ); return rc; } |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Warum hast du den zweiten Parameter von einem Handle zu einem Pointer gemacht?
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Interessant, daß du genau den Code übersetzt hast, dessen Funktionalität ich kritisiert hatte. Ich versuche es nochmal metaphorisch.
Du (Thread) kaufst dir bei IKEA (System) einen Sessel (Öffnen einer Datei) und bekommst ihn (Handle) ins Haus (Prozeß) geliefert. Da ich als Dieb zufällig Superheldenfähigkeiten habe, ziehe ich dir den gelieferten Sessel in dem Moment unterm Popöchen weg (Schließen des Handles), als du dich hinsetzen möchtest (irgendeine Operation an der Datei). Unglücklicherweise ist dahinter eine Tischkante, auf die du mit dem Hinterkopf fällst und du bist tot (Thread crasht, da es der einzige war, nimmt er den Prozeß mit). BTW: In den meisten Fällen wird es, bspw. beim Aufruf von Win32-Dateifunktionen, zu keinem Absturz kommen, weil das Handle einfach nicht mehr gültig ist. Leider kann es aber so sein, daß die Logik des Programms es normalerweise nicht erlauben würde, daß eine Operation an einer bereits erfolgreich geöffneten Datei fehlschlägt. Was dann? Viel Spaß noch :zwinker: |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@Olli: Ich hatte noch überlegt in meinen vorhergehenden Eintrag reinzuschreiben, KEIN Sarkassmus oder Poesie - aber ich dachte das Wort KONSTRUKTIV würde reichen!
Da ich schon einige Beiträge von dir gelesen habe, hätte ich mir eigentlich etwas "Hilfe" erwartet, anstatt den Lehrerfinger. :zwinker: NOCHMAL: Meine Absicht ist es, alle Handles aufzulisten. Das über das killen von Handles die Systemstabilität beieinträchtigt werden KÖNNTE, ist kein Geheimnis. @Apollonius: Da C++ nicht meine Muttersprache ist, kann sich beim Übersetzen schon mal ein Fehler eingeschlichen haben. Schau ich nochmal drauf. Anhand der Klicks auf diesen Beitrag, scheint im Allgemeinen ein hohes Interesse daran zu bestehen. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
Zitat:
http://jedi-apilib.sourceforge.net/ntapi_current.zip und dann http://www.openrce.org/forums/posts/46 oder "Windows NT/2000 Native API Reference" ("Listing Open Handles of a Process").Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@Olli: Genau das hab ich gesucht. :P
Es fehlt nur noch die endgültige Umsetzung. 1) Wenn der erste Teil bis //-------------- richtig ist 2) Wie kann ich alle Werte korrekt anzeigen, irgendwie steh ich auf dem Schlauch :wall:
Delphi-Quellcode:
implementation
uses JwaNative; ... function SHOWHANDLE(const lv: TListView): BOOL; const BUF_SIZE = $15000; var HANDLEListBuffer: PChar; HANDLEInfo: jwanative.PSYSTEM_HANDLE_INFORMATION; BufSize: Cardinal; Status: Integer; i: integer; li: TListItem; begin Result := false; lv.Items.BeginUpdate; lv.Items.Clear; // capture Liste BufSize := BUF_SIZE; repeat GetMem(HANDLEListBuffer, BufSize); if HANDLEListBuffer = nil then begin lv.Items.EndUpdate; Exit; end; Status := jwanative.NtQuerySystemInformation(SystemHandleInformation , HANDLEListBuffer, BufSize, nil); if Status <> NO_ERROR then begin // Buffer zu klein, vergrößern FreeMem(HANDLEListBuffer); Inc(BufSize, BUF_SIZE); end else if Status < 0 then // irgendein Fehler... begin lv.Items.EndUpdate; Exit; end; until Status >= 0; // AB HIER STECK ICH FEST --------------------------------------- for i:= 1 to 6 do begin //zur probe nur mal die ersten 6 Werte... HANDLEInfo := PSYSTEM_HANDLE_INFORMATION(HANDLEListBuffer); HANDLEInfo := PSYSTEM_HANDLE_INFORMATION(Cardinal(HANDLEInfo)); li := lv.Items.Add; li.Caption:= HANDLEInfo^.ProcessId; li.SubItems.Add(IntToStr(HANDLEInfo^.Handle)); end; Result := true; FreeMem(HANDLEListBuffer); lv.Items.EndUpdate; end; |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Einige Anmerkungen.
Beachte auch, daß die Abfrage der Informationen eines Handles (und ultimativ des entsprechenden Objektes) bei Pipes und Mailslots blockieren kann. Nico kann dir ein Lied davon singen. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Danke für die Tips. Zur Umsetzung:
Zitat:
Delphi-Quellcode:
status:= jwanative.NTQuerySystemInformation(jwanative.SystemHandleInformation,
@HANDLEInfo, sizeof(jwanative.PSYSTEM_HANDLE_INFORMATION), 0); if status = jwantstatus.STATUS_BUFFER_TOO_SMALL then begin form1.Memo1.Lines.Add('STATUS_BUFFER_TOO_SMALL: '+IntToStr(status)); //info end else if JwaWinType.NT_SUCCESS(Status)= false then begin form1.Memo1.Lines.Add('NT_SUCCESS: fehler'); //hier schmeißt er mich raus Exit; //worin liegt der fehler? end else form1.Memo1.Lines.Add('NT_SUCCESS: ok'); Zitat:
Anschließend.. Zitat:
Delphi-Quellcode:
var HANDLEListBuffer: PChar; obj: PSystem_Object_Information; offset: cardinal; ... obj := PSYSTEM_OBJECT_INFORMATION(handleListBuffer); repeat obj := PSYSTEM_OBJECT_INFORMATION(Cardinal(obj) + Offset); Offset := obj^.NextEntryOffset; ... until Offset = 0; ... FreeMem(HANDLEListBuffer); |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Kleiner Hinweis am Rande: Unter Windows XP Professional x64 Edition gibt es Probleme mit dem Aufruf von NtQuerySystemInformation(SystemHandleInformation) durch eine 32-Bit Anwendung. Die Funktion meldet einen Erfolg, aber nur der erste Eintrag im Array ist gültig (der Rest wird vom WOW64-Wrapper nicht kopiert). Zudem kann es vorkommen (insbesondere unter einem mit /3GB gestartetem Windows), dass der Kernel nicht genug Speicher hat, um die komplette Liste zu liefern.
ps: der Ausgabepuffer sollte übrigens an einer ausgerichteten Adresse liegen. Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Habe den kompletten Source noch mal über den Haufen geworfen.
Mein neuer Code funktioniert. Kann die Handles eines Prozesses auslesen und auch den ObjectType bestimmen.
Delphi-Quellcode:
Aber wie kann ich nun Object_: PVOID auslesen(PVOID ist ein Pointer), bzw. wie funktioniert dies. Was liefert mir der Wert zurück?
_SYSTEM_HANDLE_INFORMATION = record // Information Class 16
ProcessId: ULONG; ObjectTypeNumber: UCHAR; Flags: UCHAR; // 0x01 = PROTECT_FROM_CLOSE, 0x02 = INHERIT Handle: USHORT; Object_: PVOID; GrantedAccess: ACCESS_MASK; end; |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
Wie bereits erwähnt, bekommst du unter WOW64 keinen 64-Bit-Zeiger (den du aber benötigen würdest). Für UserMode-Prozesse sind nur die anderen Felder interessant (insbes. ProcessId/Handle). |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
aus dem Handle 1234 des Prozesses ABC den Namen des Handles herauszubekommen. In einer Liste so in etwa:
Code:
Idee? :gruebel:
Type Handle Name
File 1234 C:\Windows\system32 File 321 \Device\KsecDD Key 3232 HKLM\Software\... Semaphore 1123 \BaseNamedObjects\shell.{...} Event 123 .... |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
NtQueryObject mit ObjectNameInformation :)
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Für alle die Mitlesen, hier noch ein paar Links.
Delphi Praxisund dateifreigabeZusammenfassung: Info des Autors von Unlocker: Zitat:
Zitat:
Ironie des Schicksals, nachdem ich immer wieder ein kleines Stück der Lösung näher gerutscht war und es nun auch geschafft hatte (Danke CCRDude), gibts das schon relativ kompakt im Netz. Nicht so toll wie meine Lösung :zwinker: , aber dafür OHNE Treiber. für die Copy&Paste 'ler der Delphi Source. experts exchange |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Randbemerkung: "SysErrorMessage(GetLastError())" ist nicht korrekt, richtig wäre "SysErrorMessage(RtlNtStatusToDosError(Status) )" gewesen.
Zitat:
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@Nicode: Ja da hast du verdammt recht. Aber als Basis ist das durchaus nutzvoller Quellcode.
Bei meinen Proben war die Chance, das das Programm nicht hängt 1:10. :cheers: Mahlzeit. |
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
@toms: Wie benutzt man den Code? Also wie würde ein Beispielaufruf aussehen?
|
Re: Prozesse oder Anwendungen ermitteln, die eine Datei benu
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz