先来说说文件占用
一般常用的有2种
1、DLL或EXE打开占用
这个大家一个知道吧,EXE或DLL被打开后就会处于占用状态
所以这个只需要扫描一下进程的DLL模块就OK
但是还有一种占用:
2、打开文件的占用
这个也是比较常见的占用方式
但是这个就无法有枚举进程DLL这么简单了
主要是利用CreateFile创建一个文件的句柄
所以只需要扫描句柄就可以
但是
你知道怎么扫描吗?
那么今天的重点就来了:扫描进程的File句柄
那么就需要利用一个非常重要但是用法很少的函数了:ZwQueryObject
