MWC 2018
2018
Computex
IFA 2018
Как известно, Win32 API не содержит функцию, которая может помочь извлечь из системы список всех файлов, открытых в данный момент на локальной машине. К сожалению, документация (MSDN) содержит очень туманную и расплывчатую информацию, но одно ясно - такой список хранится в системе и мы можем его получить из User Mode, т.е. не прибегая к написанию драйвера!
Хитрость в том, что нам надо вызвать старое доброе прерывание INT21h, для этого воспользуемся законной (документированной) API-шной ф-цией DeviceIoControl. Ф-ция DeviceIoControl посылает управляющие команды напрямую указанному драйверу, тем-самым заставляя драйвер выполнять соответствующие действия. Вот прототип DeviceIoControl:
BOOL DeviceIoControl(
HANDLE hDevice,
DWORD dwIoControlCode,
LPVOID lpInBuffer,
DWORD nInBufferSize,
LPVOID lpOutBuffer,
DWORD nOutBufferSize,
LPDWORD lpBytesReturned,
LPOVERLAPPED lpOverlapped
);
Первый параметр это описатель (hDevice) устройства, файла или директории, так что получим этот описатель. Система Windows9x содержит специальный драйвер - VWIN32.VXD, он предоставляет доступ к управляющим ф-циям, за которые в MS-DOS отвечало прерывание 21h. Теперь нам надо как-то получить описатель этого драйвера что бы передать его в DeviceIoControl:
HANDLE WINAPI OpenVWin32 (void)
{
| return CreateFile | (TEXT("\.vwin32"), 0, 0, NULL, 0, FILE_FLAG_DELETE_ON_CLOSE, NULL); |
Второй параметр это управляющий код операции, которую необходимо выполнить (dwIoControlCode). Мы передадим константу VWIN32_DIOC_DOS_IOCTL, равняющуюся 1: #define VWIN32_DIOC_DOS_IOCTL 0x01
Третий параметр - указатель на буфер для входных данных (lpInBuffer). Для системы
typedef struct _DIOC_REGISTERS {
DWORD reg_EBX;
DWORD reg_EDX;
DWORD reg_ECX;
DWORD reg_EAX;
DWORD reg_EDI;
DWORD reg_ESI;
DWORD reg_Flags;
}
DIOC_REGISTERS, *PDIOC_REGISTERS;
Указатель на буффер (lpInBuffer) должен указывать на адрес структуры, описаной выше, инициализированной следующими значениями:
regs.reg_EBX = 0;// Устройство на котором перечисляются файлы (0-Текущее,A-1,B-2,C-3,...)
regs.reg_EDX = (DWORD)buf;// Адрес буффера, куда записывается имя файла
regs.reg_ECX = 0x486D;// Перечислять открытые файлы
regs.reg_EAX = 0x440D;// Управляющий код для блочных устройств
regs.reg_EDI = 0;// Тип файлов для перечисления (0-все,1-не перемещаемые)
regs.reg_ESI = i++;// Индекс (начиная с 0) файла для перечисления
Каждый вызов будет возвращать информацию только об одном файле. Что бы перечислить все открытые файлы, необходимо вызывать ф-цию в цикле:
#define CARRY_FLAG 0x01
DWORD cb;
DIOC_REGISTERS regs;
char buf[MAX_PATH];
int i = 0;
while (1)
{
ZeroMemory(®s,sizeof(regs));
regs.reg_EBX = 0;
regs.reg_EDX = (DWORD)buf;
regs.reg_ECX = 0x486D;
regs.reg_EAX = 0x440D;
regs.reg_EDI = 0;
regs.reg_ESI = i++;
| DeviceIoControl | (hVWin32, VWIN32_DIOC_DOS_IOCTL, ®s, sizeof(regs), ®s, sizeof(regs), &cb, 0); |
break;
// Ух ты, получилось!
}
Ну что же, теперь мы все можем и все умеем, осталось только написать маленький работающий пример: openfiles.zip (15Kb)
Оригинал этой статьи на английском языке лежит здесь: Trick 1
Не документированные ф-ции WindowsNT и Windows95/98 и описания на английском языке: www.codepile.com
Подписаться