win10无法判断文件是否存在，无法打开关键的进程

w12wangbo 2017-02-01 02:52:37

最近检测win10专业版的一个进程的文件，代码IO.File.Exists("C:\Windows\System32\RuntimeBroker.exe")返回false，这个文件是存在的，检测System32目录下的其他文件，显示存在，但RuntimeBroker.exe就是不存在。用getfiles枚举system32下的文件，这个RuntimeBroker.exe就是枚举不出来，谁知道这是为什么？难道又设置了安全屏障？还有另外的方法吗？

另外系统的关键进程比如smss.exe,lsass.exe都不能用openprocess打开句柄，在win7下，记得只有system无法打开句柄。进程已经以管理员权限启动，并设置了debug权限。

...全文

181 6 打赏收藏转发到动态举报

写回复

6 条回复

切换为时间正序

请发表友善的回复…

发表回复

w12wangbo 2017-02-01

打赏
举报

回复

分给错了，实在不好意思

w12wangbo 2017-02-01

打赏
举报

回复

多谢shingoscar！进行系统方面的编程，必须了解操作系统。

Poopaye 2017-02-01

打赏
举报

回复

https://msdn.microsoft.com/en-us/library/windows/desktop/aa384187(v=vs.85).aspx

以专业开发人员为伍 2017-02-01

打赏
举报

回复

你可以查一下，这两个有歧义的 System 具体的区别。

以专业开发人员为伍 2017-02-01

打赏
举报

回复

var x = Environment.GetFolderPath(Environment.SpecialFolder.System);
var y = Environment.GetFolderPath(Environment.SpecialFolder.SystemX86);

这是 c# 代码。vb.net 或许在获取方面比 c# 更人性化，更容易一些。你可以看到的是，SystemX86 这个规范返回的本来是 SysWOW64 目录。

w12wangbo 2017-02-01

打赏
举报

回复

经过测试发现，创建文件C:\Windows\System32\RuntimeBroker.exe，实际上创建到了C:\Windows\syswow64目录中，然后IO.File.Exists("C:\Windows\System32\RuntimeBroker.exe")返回true，可见C:\Windows\System32\指的是C:\Windows\syswow64,但Path.GetFileName("C:\Windows\System32")返回system32，我写的程序确实是32位的wow64程序，运行在x64win10上。如果编译为64位程序，则IO.File.Exists("C:\Windows\System32\RuntimeBroker.exe")返回true。

在WIN7 32位系统上试验成功，通过调用.net的库文件实现。labview2013以上版本可以打开。

适合win系统下远程文件，目录，等自动备份到本地，两个相同的脚本运行，可以实现，远程备份到本地，本地二次备份到远程等多点冷备业务。使用步骤： 1,打开脚本文件配置好:xcopydb小节中需要备份的目录或文件，如果要整体备份目录下所有文档，在:xcopydb小节中使用*进行通配符匹配，然后xcopy参数增加使用 /e /s 2,脚本首先启动的时候会对远程文件进行是否存在判断，所以使用脚本前需要先对远程资源挂载成本地盘符；也可在:errdb小节中可以对远程资源进行二次判断,由于各种环境不同，根据需要可以增加 net -add 远程路径盘符命令对远程\\ip\资源名，以实现二次判断不存在可以自动将访问源保存为本地盘符 3、如果新增或更换了本地盘符号，记得修改主程序:xcopydb小节中需要备份的数据路径 4、如何实现daemon？daemon是来做脚本监控的，如果使用win的计划任务可以不特别写监控脚本。如要自己实现，最好将脚本配置成后台服务组件形式，如果时单一监控，只有监控net链接是否存在，本身进程是否存在；

本课程是LTE学习大使孙宇彤老师根据Windows10的系统特点，总结出的Windows10的安装方法，只需要三步，大家就可以体验到Windows10系统的魅力。这种方法基于VHD安装，召之即来挥之即去，不影响原系统的工作，特别适合Windows10系统的体验。

大白鲨远控1.4 运行平台：Win2K、WinXP、Win03、WinVista、Win07、(Win2008没测试) 更新日志： 1.更新网络模块，可同时上线上万主机 2.屏幕模块，添加键盘发送、图片保存、透明区域截取、全屏模式、屏幕缩放模式、组合键发送=;(核心算法为DG大哥的,博客iamgyg.blog.163.com) 3.更新视频模块,支持USB无驱视频，传输速度流畅，添加 IntelIndeo(R)VideoR3.2 和 IndeoVideo5.04 编码 4.服务端添加非正常断线探测； 5.进程模块（添加显示进程创建时间,以及优化代码） 6.服务模块（添加已启动的服务的启动时间查看还有PID，以及优化代码） 7.注册表模块，以及代码优化 8.窗口模块(添加PID与窗口进程所在路径查看) 9.添加主机信息复制， 10.添加判断WIN7系统 11.其它更新修正BUG 1.文件管理的文件修改时间显示错误。 2.时间久了会可能会出现播放有主机下线声音（实际上没看到主机下线） 3.修复win7系统下注入进程后无法创建线程，导致无法连接网络， 4.修复截取系统登录界面白屏软件简介： DATA文件夹里面的有两个RAR文件，分配为两个功能完全相同的DATA.FILE: “DATA(注入进程兼容Win7).rar” //该DATA 无壳 118KB ,压缩 54KB "DATA(注入进程不兼容Win7).rar"// 该DATA无壳 399KB ,压缩 177KB 不带DLL文件！功能简介： 1.屏幕监控，可以查看对方屏幕以及鼠标监控、键盘监控、强制关闭显示器等。 2.视频监控、可以查看对方视频,含有MSH263,IndeoVideo5.04,IntelIndeo(R)VideoR3.2编码 3.CMD命令：模拟CMD。也就是telnet命令执行 4.文件管理：磁盘空间查看、文件浏览、WinRAR压缩解压(必须有安装WINRAR)、执行文件(以后缀执行/Exe类型执行)、上传、下载、删除、新建(文件/文件夹)... 5.进程管理：进程信息查看。包括进程创建时间，父进程ID等..，可以结束进程。 6.服务管理：服务信息查看。包括服务的PID、启动时间、模块路径、描述。等查看，可以对服务进行基本操作. 7.注册表管理：类似于注册表模拟器，可以删除指定注册表值，键，以及新建等.. 8.窗口管理：可以设置窗口标题、对窗口的其他操作，比如关闭窗口（包括父窗口）或隐藏窗口等... 9.键盘记录：可以查看对方输入了哪个键盘按键。 10.附加功能：分为“信息查看”与“插件管理”。信息查看：可以看对方系统信息，服务端配置信息，宽带信息需要上传指定插件才能查看！插件管理”能上传插件指定的插件使用相应的功能。 11.其他管理：有点类似与恶作剧，有禁止鼠标活动与键盘活动功能==，还有查看剪切板字符串==等功能。 12.批量操作：分为“筛选主机”、“修改配置”、“发送信息”、“其它操作”4个面板！筛选主机：可以筛选你先要进行批量操作的主机，如内存大于512MB，小于2048MB的主机=。修改配置：可以修改上线信息，如IP、端口或者备注！发送信息：分为发生“窗口信息”和“屏幕字体”两种信息。其它操作：可以下载URL文件，隐藏打开网页、重启、关机、开启3389端口、更新被控端==功能注：非法使用后果自负，

使用access函数功能：检查调用进程是否可以对指定的文件执行某种操作。用法：#include #include int access(const char *pathname, int mode);pathname: 需要测试的文件路径名。mode: 需要测试的操作模式，可能值是一个或多个R_OK(可读?), W_OK(可写?), X_OK(可执行?) 或 F_OK(文件存在?)组合体。返回说明...

16,554

社区成员

110,527

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章