[WinXP] Liste von Prozessen bestimmen, die eine bestimmte Datei geöffnet haben
-
Hallo,
ich suche eine Möglichkeit unter Windows XP festzustellen, welche Prozesse eine bestimmte Datei geöffnet haben (als Sahnehäubchen sogar den Zugriffsmodus). Ich weiß, dass FileMon von Microsoft/Sysinternals das kann, aber irgendwie finde ich in der Win32 API keinen richtigen Einstiegspunkt. Entweder setzen die Funktionen Vista/Win7 voraus, oder sind undokumentierte Funktion wie NtQueryObject.
Kennt sich da jemand aus?
-
Dazu brauchst du einen Dateisystemfilter: http://www.michael-puff.de/Programmierung/Artikel/FileUnlocker.shtml
-
Uh, alles klar. Dann hak´ ich das Thema einfach mal ab...
-
das Sysinternal tool Procmon anscheinend nicht, versuch gerade selbst an solche infos, wie Doc Shoe zu kommen!
das tool scheint keinen treiber zu benötigen
-
Das Tool hat meines Wissens nen Treiber eingebettet, der beim starten in irgendnen Temp-Verzeichnis gehauen wird und dann geladen wird...
-
Mark Russinovich (sysinternals) schrieb:
Process Monitor relies on a device driver that it extracts from its executable image at run time and then starts. Its first execeution requires that the account running it have the Load Driver privilege as well as the Debug Privilge (...), the driver remains resident (bis zum Neustart des Systems [Anm. von mir
])
-
könnte man einen process überwachen und feststellen wenn er neue filehandels erzeugt und irgendwie so rankommen? bin grad erst in einem denkprozess darüber also nur mal ein ansatz
vielleicht auch über ein filemapping objekt, also CreateFileMapping und MapViewOfFile...
-
buntehaare schrieb:
könnte man einen process überwachen und feststellen wenn er neue filehandels erzeugt und irgendwie so rankommen? bin grad erst in einem denkprozess darüber also nur mal ein ansatz
vielleicht auch über ein filemapping objekt, also CreateFileMapping und MapViewOfFile...
Nein!
Den Weg hast Du schon gesagt bekommen: Dateisystemfilter oder Filtertreiber, wie man das auch immer nennen will.
-
Martin Richter schrieb:
buntehaare schrieb:
könnte man einen process überwachen und feststellen wenn er neue filehandels erzeugt und irgendwie so rankommen? bin grad erst in einem denkprozess darüber also nur mal ein ansatz
vielleicht auch über ein filemapping objekt, also CreateFileMapping und MapViewOfFile...
Nein!
Den Weg hast Du schon gesagt bekommen: Dateisystemfilter oder Filtertreiber, wie man das auch immer nennen will.Ich nenne das Kopfschmerzen
-
ok ok ich habs mittlerweile verstanden .. danke dennoch, wollte keinen damit verärgern .. ?
-
hier die source codes von Mark Russinovich FileMonitor4. und RegistryMonitor:
falls es noch jemand anderen interresiert (ältere versionen versteht sich)
