-
...если есть его handle полученый с помощью CreateFile. Подскажите в какую сторону копать.
ps Слышал вроде-бы ntdll есть какие-то такие функции, но ту ветку непомню.
-
Зачем это может понадобиться ?
-
Ну ты понимаеш. У меня иногда бывают такие резкие как пoНoc идеи и я их тут-же осуществляю. Просто перебирал от 1 до 2000 с попыткой
if getfiletype=file_type_disk then...
вот и приспичило узнать пути открытых процессом файлов
> Зачем это может понадобиться ?
уж заверю тебя, я не руткит пишу!
Если не хочеш оглашать функцию скинь мне пожалуйста на мое мыло
мыло=strtoint@mail.ru
-
> приспичило узнать пути открытых процессом файлов
Твоим процессом ?
А что, ты разве не контролируешь, какие конкретно файлы ты открываешь в своей программе ?
-
ну просто панаоткрывал файлов в папке, вот, дол...я идея такая
-
> ну просто панаоткрывал файлов в папке
.. и при этом ума хранить имена открытых файлов (и соотв. им хэндлы) в каком-либо массиве, конечно же не хватило ?
К поносу надо относиться гораздо ответственней)
-
> ну просто панаоткрывал файлов в папке
и чё? имена при этом не запомнить?
-
Ну раз уж понос случился, лечи его с пом. NtQueryInformationFile()
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
-
Ну если коротенько,то примерно так
NtQuerySystemInformation(SystemHandleInformation,...) +
NtQueryObject(Handle,ObjectNameInformation,...) и т.д.
Правда не для всех файлов срабатывает.
-
>[17] Undri (07.09.07 04:28)
>Правда не для всех файлов срабатывает.
А для каких "не срабатывает" ? (Pipe'ы отбросим)
-
> Pipe'ы отбросим
Почему отбросим, если на них-то как раз и "не срабатывает" ? :)
-
> [19] Undri (07.09.07 06:21)
> Почему отбросим,
Потому, что это старая проблемма.
>если на них-то как раз и "не срабатывает" ? :)
На них срабатывает, но иногда для срабатывания требуется неопределенное количество времени :)
-
unit NTApi;
interface
uses windows,sysutils;
type
NT_STATUS = Cardinal;
function NtQuerySystemInformation(SystemInformationClass: DWORD; SystemInformation: Pointer;
SystemInformationLength:DWORD; ReturnLength:PDWORD):NT_STATUS; stdcall;
type
PIO_STATUS_BLOCK = ^IO_STATUS_BLOCK;
IO_STATUS_BLOCK = packed record
Status: NT_STATUS;
Information: DWORD;
end;
TIOStatusBlock=IO_STATUS_BLOCK;
PFILE_NAME_INFORMATION = ^FILE_NAME_INFORMATION;
FILE_NAME_INFORMATION = packed record
FileNameLength: ULONG;
FileName: array [0..MAX_PATH - 1] of WideChar;
end;
TFileNameInformation=FILE_NAME_INFORMATION;
PUNICODE_STRING = ^TUNICODE_STRING;
TUNICODE_STRING = packed record
Length : WORD;
MaximumLength : WORD;
Buffer : array [0..MAX_PATH - 1] of WideChar;
end;
POBJECT_NAME_INFORMATION = ^OBJECT_NAME_INFORMATION;
OBJECT_NAME_INFORMATION = packed record
Name : TUNICODE_STRING;
end;
TObjectNameInformation=OBJECT_NAME_INFORMATION;
const
STATUS_SUCCESS = NT_STATUS($00000000);
STATUS_INVALID_INFO_CLASS = NT_STATUS($C0000003);
STATUS_INFO_LENGTH_MISMATCH = NT_STATUS($C0000004);
STATUS_INVALID_DEVICE_REQUEST = NT_STATUS($C0000010);
ObjectNameInformation = 1;
FileDirectoryInformation = 1;
FileNameInformation = 9;
SystemProcessesAndThreadsInformation = 5;
SystemHandleInformation = 16;
function NtQueryInformationFile(FileHandle: THandle; IoStatusBlock: PIO_STATUS_BLOCK; FileInformation: Pointer;
Length: DWORD; FileInformationClass: DWORD): NT_STATUS; stdcall;
function NtQueryObject(ObjectHandle: THandle; ObjectInformationClass: DWORD; ObjectInformation: Pointer;
ObjectInformationLength: ULONG; ReturnLength: PDWORD): NT_STATUS; stdcall;
function GetLongPathNameA(lpszShortPath, lpszLongPath: PChar;
cchBuffer: DWORD): DWORD; stdcall; external kernel32 name 'GetLongPathNameA';
const
ntdll = 'ntdll.dll';
function GetFileNameByHandle(FileHandle: THandle):string;
implementation
function NtQuerySystemInformation; external ntdll name 'NtQuerySystemInformation';
function NtQueryInformationFile; external ntdll name 'NtQueryInformationFile';
function NtQueryObject; external ntdll name 'NtQueryObject';
function GetFileNameByHandle(FileHandle: THandle):string;
var
FileNameInfo: TFileNameInformation;
ObjectNameInfo: TObjectNameInformation;
IoStatusBlock: TIOStatusBlock;
res,dwReturn: DWORD;
begin
result:='';
res := NtQueryInformationFile(FileHandle,@IoStatusBlock,@FileNameInfo,
SizeOf(FileNameInfo.FileName),FileNameInformation);
if res = STATUS_SUCCESS then
begin
res := NtQueryObject(FileHandle,ObjectNameInformation,
@ObjectNameInfo, SizeOf(ObjectNameInfo.Name.Buffer), @dwReturn);
if res = STATUS_SUCCESS then
begin
SetLength(result,MAX_PATH);
SetLength(result,WideCharToMultiByte(CP_ACP, 0,
@ObjectNameInfo.Name.Buffer[ObjectNameInfo.Name.MaximumLength -
ObjectNameInfo.Name.Length],
ObjectNameInfo.Name.Length div SizeOf(WideChar),
@result[1],MAX_PATH, nil, nil));
end else
begin
SetLength(result,MAX_PATH);
SetLength(result,WideCharToMultiByte(CP_ACP, 0,
@FileNameInfo.FileName[0], FileNameInfo.FileNameLength div SizeOf(WideChar),
@result[1],MAX_PATH, nil, nil));
end;
end;
end;
end.
-
только как получить нормальный c:\ низнаю :)
хотя... можно для всех DosDevice получить \Device\HarddiskVolumeX\ и тупо заменять
-
>[21] Slym © (07.09.07 06:38)
А для чего вызывается NtQueryInformationFile ?
Почему не обойтись только NtQueryObject ?
-
Riply © (07.09.07 7:04) [23]
NtQueryObject
хз с инета сдернул :)
а так NtQueryObject - на пайпах виснет и NtQueryInformationFile используется (я так понял) аля GetFileType(FileHandle: THandle)=FILE_TYPE_CHAR
-
RtlNtPathNameToDosPathName [WXP, 2K3]
-
У меня код [21] вообще ничего не показывает. Единственное, что на пайпах не виснет :)
> Riply © (07.09.07 06:32) [20]
>
> > [19] Undri (07.09.07 06:21)
> > Почему отбросим,
> Потому, что это старая проблемма.
Это не проблема. Решается простым драйвером.
> Riply © (07.09.07 06:32) [20]
>
> >если на них-то как раз и "не срабатывает" ? :)
> На них срабатывает, но иногда для срабатывания требуется
> неопределенное количество времени :)
Иногда до конца сеанса :)
-
> [26] Undri (07.09.07 12:59)
> У меня код [21] вообще ничего не показывает. Единственное, что на пайпах не виснет :)
Не на тех пайпах пробовал :)
P.S. Код не тестировала.
> Это не проблема. Решается простым драйвером.
Мне до написания драйвера как до луны :(
Поэтому для меня это остается проблеммой.
-
> Riply © (07.09.07 13:13) [27]
>
> Не на тех пайпах пробовал :)
На тех - на тех :) Cинхронные пайпы, занятые в данный момент.
> Riply © (07.09.07 13:13) [27]
>
> P.S. Код не тестировала.
>
Там просто память надо выделить для FileNameInfo и ObjectNameInfo.
> Riply © (07.09.07 13:13) [27]
>
> > Это не проблема. Решается простым драйвером.
> Мне до написания драйвера как до луны :(
> Поэтому для меня это остается проблеммой.
>
Ещё вариант - создать поток, в ф-ции которого запрашивать имя. А если поток скажем через 100 мс. сам не завершится (типа WaitForSingleObject( hThread, 100 ) == WAIT_TIMEOUT ) - значит завис на пайпе. После чего прибить его TerminateThread'ом.
Правда, имени его ты так и не узнаешь :) Это только из R0 сделать можно.
-
пост [25]
это в ответ на Slym © (07.09.07 07:01) [22]
-
> SLoW.AlfaMoon.Com (07.09.07 10:23) [25]
>
> RtlNtPathNameToDosPathName [WXP, 2K3]
А сигнатуру можешь дать (хотя бы типы параметров)? Полазил по Сети - ничего конкретного по этой ф-ции не обнаружил :(
ЗЫ ты сам-то пользовался этой функцией?
-
Всем спасибо, заработало, только путь выводит в виде
\Device\HarddiskVolume1\
я то знаю, что это c:\ раздел первый.
а перевести вроде-бы можно QueryDosDevice - не подскажете?
-
> [31] Cj © (09.09.07 12:10)
>а перевести вроде-бы можно QueryDosDevice - не подскажете?
У [22] Slym © один из вариантов.
Можно еще посмотреть исходники от Игоря Шевченко.
Если память мне не изменяет, то в DeviceIoControl60 есть функция перевода.
-
А, все, разобрался, еще раз спасибо всем!
-
-
SLoW.AlfaMoon.Com, спасибо. Я просто нигде не нашел сигнатуры RtlNtPathNameToDosPathName. Думал, может у тебя имеется.. А сам я пользую вот такое:
function GetDOSFileName(lpDeviceFileName:pchar):string;
var
lpDeviceName:array[0..$1000-1] of char;
lpDrive:array[0..2] of char;
actDrive:char;
begin
Result:=lpDeviceFileName;
lpDrive := 'A:';
for actDrive :='A' to 'Z' do
begin
lpDrive[0] := actDrive;
if (QueryDosDevice(lpDrive, lpDeviceName, $1000) <> 0) then
begin
if (CompareString(LOCALE_SYSTEM_DEFAULT,NORM_IGNORECASE,lpDeviceName,lstrlen(lpDevi ceName),
lpDeviceFileName,lstrlen(lpDeviceName))=CSTR_EQUAL) then
begin
Result:=string(lpDrive)+PChar(cardinal(lpDeviceFileName) + lstrlen(lpDeviceName));
break
end
end
end
end;
function GetDeviceFileName(lpDOSFileName:pchar):string;
var
lpDrive:array[0..2] of char;
lpDeviceName:array[0..$1000-1] of char;
begin
Result:=lpDOSFileName;
lstrcpyn(lpDrive,lpDOSFileName,3);
if (QueryDosDevice(lpDrive, lpDeviceName, $1000 )<>0) then
begin
if (CompareString(LOCALE_SYSTEM_DEFAULT,NORM_IGNORECASE,'\??\',4,
lpDeviceName,4)=CSTR_EQUAL) then
begin
Result:=PChar(lpDeviceName + 4)+ string(PChar(lpDOSFileName + 2));
exit
end;
lstrcat(lpDeviceName, lpDOSFileName + 2 );
Result := lpDeviceName
end
end;
-
Забыл добавить: тут не учитываются Network drive'ы (всякие там LanmanRedirector/etc.). Но при желании и их можно довольно просто обработать.
-
NTSTATUS NTAPI RtlNtPathNameToDosPathName (
ULONG Unknown1,
ULONG Unknown2,
ULONG Unknown3,
ULONG Unknown4
)
-
NTSTATUS RtlNtPathNameToDosPathName (UNICODE_STRING* NtPathName, UNICODE_STRING* DosPathName, ULONG* ReturnedLength, LPWSTR* FilePath)
-
> Игорь Шевченко © (11.09.07 11:42) [38]
Спасибо, ценно. Это в ваших модулях по Native API есть?
-
SLoW.AlfaMoon.Com (11.09.07 16:18) [39]
Нету пока. Не успеваю :)
-
> Игорь Шевченко © (11.09.07 11:42) [38]
Спасибо.
А есть обратная (RtlDosPathNameToNtPathName_U ??) ?
-
Игорь Шевченко © (11.09.07 17:23) [40]
ухты,а хде валяются? (ссылку)
-
Undri (12.09.07 01:28) [41]Конечно function RtlDosPathNameToNtPathName_U (const DosFileName: PWideChar; NtFileName: PUNICODE_STRING; FilePart: PPWideChar; RelativeName: PRTL_RELATIVE_NAME): Boolean; stdcall; Slym © (12.09.07 08:02) [42]
> ухты,а хде валяются? (ссылку)
В кладовке у керка ( http://kladovka.net.ru) по ISchevchenko поищи
-
Удалено модератором
-
Удалено модератором
-
Удалено модератором
Примечание: Забаню за неуважение к правилам
-
#define RTL_NT_PATH_NAME_TO_DOS_PATH_NAME_AMBIGUOUS (0x00000001)
#define RTL_NT_PATH_NAME_TO_DOS_PATH_NAME_UNC (0x00000002)
#define RTL_NT_PATH_NAME_TO_DOS_PATH_NAME_DRIVE (0x00000003)
#define RTL_NT_PATH_NAME_TO_DOS_PATH_NAME_ALREADY_DOS (0x00000004)
NTSYSAPI
NTSTATUS
NTAPI
RtlNtPathNameToDosPathName(
__in ULONG Flags,
__inout PRTL_UNICODE_STRING_BUFFER Path,
__out_opt PULONG Disposition,
__inout_opt PWSTR* FilePart
);
typedef struct _RTL_UNICODE_STRING_BUFFER {
UNICODE_STRING String;
RTL_BUFFER ByteBuffer;
UCHAR MinimumStaticBufferForTerminalNul[sizeof(WCHAR)];
} RTL_UNICODE_STRING_BUFFER, *PRTL_UNICODE_STRING_BUFFER;
typedef struct _RTL_BUFFER {
PUCHAR Buffer;
PUCHAR StaticBuffer;
SIZE_T Size;
SIZE_T StaticSize;
SIZE_T ReservedForAllocatedSize; // for future doubling
PVOID ReservedForIMalloc; // for future pluggable growth
} RTL_BUFFER, *PRTL_BUFFER;
-
вообщето ответ уже давно сказали.и про перевод в нормальный путь. но лишняя инфа не помешает. спасибо
|
Есть новые 
Нет новых [134433 +22][b:0][p:0.004]