• XSS.stack #1 – первый литературный журнал от юзеров форума

RmGetList return 0 of procInfoCount

Отслеживать
xChimera

xChimera

Malware...
Пользователь
Регистрация
19.08.2024
Сообщения
778
Реакции
552
Гарант сделки
2
Депозит
0.0282
Пытаюсь использовать RstrtMgr апи для того чтобы найти процесс который заблокировал файл, из под админа тестил - все гуд
Из под юзера же если запускаю - не находит процессов которые блокируют файл
 
Обычный юзер видет свои процессы и не системные, это заложено в винде и вроде особо ничего не сделаешь.
Попробуй через:
typedef NTSTATUS (NTAPI* NtQueryInformationFile_t)(HANDLE PIO_STATUS_BLOCK PVOID ULONG FILE_INFORMATION_CLASS)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
CodeGeek сказал(а):
там через NtQueryInformationFile делали
Насколько я помню, для этого нужно хендл процесса, открывшего файл, открыть и дублировать хендл файла к себе в процесс, что может быть довольно палевно, да и системные процессы не из под админа ты не откроешь.
 
DildoFagins сказал(а):
Насколько я помню, для этого нужно хендл процесса, открывшего файл, открыть и дублировать хендл файла к себе в процесс, что может быть довольно палевно, да и системные процессы не из под админа ты не откроешь.
Так Rm через RmRegisterResources и так открывает тот самый хендл, разве нет?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
hahbah сказал(а):
Так Rm через RmRegisterResources и так открывает тот самый хендл, разве нет?
Не уверен насчет этого, но мне казалось, что система регистрирует и хранит эту информацию на уровне сессий, а рестарт менеджер только запрашивает информацию.
 
DildoFagins сказал(а):
Насколько я помню, для этого нужно хендл процесса, открывшего файл, открыть и дублировать хендл файла к себе в процесс, что может быть довольно палевно, да и системные процессы не из под админа ты не откроешь.
Все верно, но процесс пользовательский, а проблема в том - что откуда софту знать какой процесс блокирует файл
 
Пожалуйста, обратите внимание, что пользователь заблокирован
malware_cryptor сказал(а):
проблема в том - что откуда софту знать какой процесс блокирует файл
Ну ты можешь сделать, как процессхакер, перечислить все хендлы в системе через NtQuerySystemInformation, отобрать из них все файловые, там же должен быть пид процесса, который хендл держит, но чтобы узнать, какой хендл к какому файлу относится, все равно придется дублировать хендл к себе.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх