Re0: 从零实现一个解除文件占用的小工具
2023-10-20 18:9:46 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏


前言

相信大家或多或少都遇到过想删除一个文件,却提示被占用的情况:
不知道各位都是如何处理的,反正我一直都是用的火绒。但是作为一名程序员,自己写一个小程序实现多有意思,是吧。况且为了一个小工具去安装一个杀毒软件,是一个合格的程序员,你们说对不对。基于以上的原因,最终出现了这篇文章,效果如下,本文所对应的完整代码已上传到GitHub(https://github.com/zhangjiwei1221/blog/tree/master/unlockfile),可自行取用。

一些可以使用的工具

在正式编码之前,这里先介绍一些已有的工具,如果想看编码实现,可以跳过本节。

火绒等杀毒软件

这里以火绒自带的工具为例,使用方式如下所示:
通过火绒自带的工具,可以看到文件被什么程序占用了,然后进行解锁。

专用工具

UnlockerLockHunterIObit Unlocker,由于未实际使用过,这里不再展开介绍。

任务管理器


通过Windows 自带的任务管理器也可以查询文件的占用状态,缺点是无法只解锁文件,只能关闭占用的进程。

Sysinternals 下的 handle

Sysinternals 是 Windows 平台上使用的一个工具集合,可以监控系统的绝大部分文件,磁盘,网络,进程线程,模块,工具全集可以在微软官网(https://learn.microsoft.com/zh-cn/sysinternals/downloads/)进行下载,这里只讲解用于句柄操作的 Handle:
首先在官网(https://download.sysinternals.com/files/Handle.zip)进行下载,可以发现包含的文件很简单,exe 文件可以直接运行:
在这里我们选择其中的 handle64 即可,首先以管理员身份运行终端,然后运行以下命令:
handle64 "C:\Users\xxx\Desktop\demo.gif"
然后我们就可以看到上图所示的占用的程序进程号和对应的文件句柄,之后我们就可以运行以下命令去解除占用了,其中 1CE8 和 20392 分别是上述命令获取到的文件句柄和占用进程号:
handle64 -nobanner -c 1CE8 -y -p 20392


自己编码实现

以上讲解了一些解除文件占用的第三方功能,下面则开始步入正题,从零实现一个解除文件占用的小工具。

软硬件运行环境及工具

◆Windows11
◆Visual Studio 2022
◆Qt5.15.2/QML(用于展示简单结果文本,不了解 Qt 也没什么影响)
◆Inno Setup(用于创建程序的安装程序)

编码实现

首先说明以下程序的整体思路:程序初始判断是否有传参,如果无参说明程序是手动运行,执行添加注册表实现右键菜单包含解锁文件选项的逻辑。如果包含参数,说明程序是通过右键菜单运行的,根据传递的参数(即文件路径)执行相应的文件解锁操作。
以下不展示全部代码,完整代码可在前言中的GitHub查看,全部逻辑都在 main.cpp 中。

注册表功能实现

最终效果如下:
结合上图和以下代码即注释,相关代码不难理解,主要步骤如下:
1.添加名为unlockfile的注册键,包含两个键值,一个默认项解锁文件对应右键菜单显示的名称,一个Icon设置为应用程序的地址对应右键菜单显示的图标。
2.在unlockfile下添加名为command的子键,值是程序路径和 "%1"(对应传递的文件路径参数用于文件解锁操作)。
使用注册表时要特别注意文件编码,字符串类型转换的处理。
QVariant showInfo;
string appPath = QCoreApplication::applicationDirPath()
.replace(QRegExp("/"), "\\").toStdString() + "\\unlockfile.exe";
if (setRightMenu("unlockfile", "解锁文件", appPath))
{
showInfo = u8"注册表添加成功";
}
else
{
showInfo = u8"注册表添加失败, 请确保以管理员身份运行";
}
QMetaObject::invokeMethod(root, "showInfo", Q_ARG(QVariant, showInfo));

/// <summary>
/// 设置右键菜单
/// </summary>
/// <param name="strRegKeyKey">注册键</param>
/// <param name="strRegKeyName">注册名</param>
/// <param name="strApplication">应用地址</param>
/// <returns>是否添加成功</returns>
bool setRightMenu(string strRegKeyKey, string strRegKeyName, string strApplication)
{
HKEY hresult;
string strRegKey = "*\\shell\\" + strRegKeyKey;
string strRegSubkey = strRegKey + "\\command";
string strApplicationValue = "\"" + strApplication + "\"" + " \"%1\"";
DWORD dwPos;
// 创建注册表键, 对应右键菜单项
if (RegCreateKeyEx(HKEY_CLASSES_ROOT, stringToWString(strRegKey.c_str()), 0,
NULL, REG_OPTION_NON_VOLATILE, KEY_CREATE_SUB_KEY | KEY_ALL_ACCESS, NULL, &hresult, &dwPos) != ERROR_SUCCESS)
{
RegCloseKey(hresult);
return false;
}

// 创建注册表值, 对应右键菜单项显示的内容
if (RegSetValueEx(hresult, NULL, 0, REG_SZ, (BYTE*)stringToWString(strRegKeyName.c_str()), (wcslen(stringToWString(strApplicationValue.c_str())) + 1) * sizeof(wchar_t)) != ERROR_SUCCESS)
{
RegCloseKey(hresult);
return false;
}

// 设置右键菜单图标
if (RegSetValueEx(hresult, stringToWString("Icon"), 0, REG_SZ, (BYTE*)stringToWString(strApplication.c_str()), (wcslen(stringToWString(strApplication.c_str())) + 1) * sizeof(wchar_t)) != ERROR_SUCCESS)
{
RegCloseKey(hresult);
return false;
}

// 创建注册表子项键, 对应点击右键菜单项后的命令项
if (RegCreateKeyEx(HKEY_CLASSES_ROOT, stringToWString(strRegSubkey.c_str()), 0, NULL, REG_OPTION_NON_VOLATILE, KEY_CREATE_SUB_KEY | KEY_ALL_ACCESS, NULL, &hresult, &dwPos) != ERROR_SUCCESS)
{
RegCloseKey(hresult);
return false;
}

// 创建注册表子项值, 对应点击右键菜单项后的具体执行命令
if (RegSetValueEx(hresult, NULL, 0, REG_SZ, (BYTE*)stringToWString(strApplicationValue.c_str()), (wcslen(stringToWString(strApplicationValue.c_str())) + 1) * sizeof(wchar_t)) != ERROR_SUCCESS)
{
RegCloseKey(hresult);
return false;
}
RegCloseKey(hresult);
return true;
}

实现的效果如下,其中解锁文件就是我们创建的:

解锁文件逻辑实现

这部分逻辑稍微复杂一些,具体步骤如下:
1.首先执行init()进行初始化的操作,包括加载 Native API 和遍历系统中所有句柄。
2.调用getFileObjectTypeNumber()获取文件句柄对应的编号(句柄有很多种,比如窗口、文件、图标和菜单),经测试,不同系统版本的编号也有所不同:win11: 40 win10: 37 win7: 28
3.遍历执行init()得到的系统所有句柄信息,只处理其中类型为文件且不属于系统进程的句柄。
4.对符合条件的文件句柄去获取其文件名,如果文件名和传递的文件名相同,则关闭相应的句柄即可实现解锁文件的效果,同时获取占用的进程路径展示给用户。
特别注意,在 ring3 级调用NtQueryObject会出现阻塞的情况,因此需要通过开一个线程增加超时处理,避免程序卡住。此外,由于是跨进程处理句柄,因此需要调用DuplicateHandle方法。
/// <summary>
/// 查询对象信息
/// </summary>
/// <param name="lpParam">参数</param>
/// <returns>返回值</returns>
DWORD queryObj(LPVOID lpParam)
{
return NtQueryObject(hCopy, 1, pObject, MAX_PATH * 2, NULL);
}

/// <summary>
/// 获取文件名
/// </summary>
/// <param name="hCopy">文件句柄</param>
/// <param name="hCopy">文件名</param>
void getFileName(string& fileName)
{
// 查找句柄对象信息并分配内存进行保存
pObject = (POBJECT_NAME_INFORMATION)HeapAlloc(GetProcessHeap(), 0, MAX_PATH * 2);
if (pObject == 0)
{
HeapFree(GetProcessHeap(), 0, pObject);
return;
}

// NtQueryObject 调用会出现阻塞, 启动线程增加超时处理
HANDLE hThread = CreateThread(NULL, 0, queryObj, NULL, 0, NULL);
if (hThread == 0)
{
HeapFree(GetProcessHeap(), 0, pObject);
return;
}
DWORD dwSatus = WaitForSingleObject(hThread, 200);
if (dwSatus == WAIT_TIMEOUT)
{
HeapFree(GetProcessHeap(), 0, pObject);
return;
}

// 返回文件名
if (pObject->NameBuffer != NULL)
{
DWORD n = WideCharToMultiByte(CP_OEMCP, NULL, pObject->NameBuffer, -1, NULL, 0, NULL, FALSE);
char* name = new char[n + 1];
memset(name, 0, n + 1);
WideCharToMultiByte(CP_OEMCP, NULL, pObject->NameBuffer, -1, name, n, NULL, FALSE);
fileName = name;
delete[] name;
HeapFree(GetProcessHeap(), 0, pObject);
return;
}
HeapFree(GetProcessHeap(), 0, pObject);
return;
}

/// <summary>
/// 初始化处理
/// </summary>
/// <returns>是否正常初始化</returns>
bool init()
{
// 从 ntdll.dll 中加载 Native API: NtQuerySystemInformation 用于遍历获取系统信息
HMODULE hNtDll = LoadLibrary(L"ntdll.dll");
if (hNtDll == NULL)
{
return false;
}
NTQUERYSYSTEMINFOMATION NtQuerySystemInformation = (NTQUERYSYSTEMINFOMATION)GetProcAddress(hNtDll, "NtQuerySystemInformation");
if (NtQuerySystemInformation == NULL)
{
return false;
}

// 用于获取操作系统中文件类型句柄对应的对象类型数字
nulFileHandle = CreateFile(L"NUL", GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, 0);
if (nulFileHandle == NULL)
{
return false;
}

// 从 ntdll.dll 中加载 Native API: NtQueryObject 用于获取句柄对象信息
NtQueryObject = (PNtQueryObject)GetProcAddress(hNtDll, "NtQueryObject");

// 查找所有的句柄信息并分配内存进行保存
DWORD nSize = 4096;
pHandleInfo = (PSYSTEM_HANDLE_INFORMATION)HeapAlloc(GetProcessHeap(), 0, nSize);
while (NtQuerySystemInformation(SystemHandleInformation, pHandleInfo, nSize, NULL) == STATUS_INFO_LENGTH_MISMATCH)
{
HeapFree(GetProcessHeap(), 0, pHandleInfo);
nSize += 4096;
pHandleInfo = (PSYSTEM_HANDLE_INFORMATION)HeapAlloc(GetProcessHeap(), 0, nSize);
}
if (pHandleInfo == NULL)
{
return false;
}
return true;
}

/// <summary>
/// 获取文件类型对应的对象编号, 经测试 win11: 40 win10: 37 win7: 28, 默认返回 win11 下的编码
/// </summary>
/// <returns>文件类型对应的对象编号</returns>
int getFileObjectTypeNumber()
{
// 遍历所有的句柄
for (ULONG i = 0; i < pHandleInfo->NumberOfHandles; i++)
{
PSYSTEM_HANDLE pHandle = (PSYSTEM_HANDLE) & (pHandleInfo->HandleInfo[i]);

if ((int)GetCurrentProcessId() == pHandle->ProcessId && pHandle->Handle == (USHORT)nulFileHandle)
{
return (int)pHandle->ObjectTypeNumber;
}
}
return 40;
}

/// <summary>
/// 关闭文件
/// </summary>
/// <param name="closeFileName">关闭的文件名</param>
void closeFile(string& closeFileName)
{
int fileObjectTypeNumber = getFileObjectTypeNumber();
// 遍历所有的句柄
for (ULONG i = 0; i < pHandleInfo->NumberOfHandles; i++)
{
PSYSTEM_HANDLE pHandle = (PSYSTEM_HANDLE) & (pHandleInfo->HandleInfo[i]);
// 只处理类型为文件且不属于系统进程(id 为 4)的句柄
if (pHandle->ObjectTypeNumber != fileObjectTypeNumber || pHandle->ProcessId == 4 || pHandle->Handle == 0)
{
continue;
}
// 打开句柄对应的进行并进行复制用于后续操作
HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE | PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pHandle->ProcessId);
if (hProcess == NULL)
{
continue;
}
hCopy = 0;
if (!DuplicateHandle(hProcess, (HANDLE)pHandle->Handle, GetCurrentProcess(), &hCopy, MAXIMUM_ALLOWED, FALSE, 0))
{
continue;
}

// 根据句柄获取文件名
int pid = pHandle->ProcessId;
string fileName;
getFileName(fileName);
if (fileName.find(closeFileName) != -1)
{
// 获取占用的进程名称
WCHAR tmpName[MAX_PATH] = {};
DWORD size = MAX_PATH;
QueryFullProcessImageName(hProcess, 0, tmpName, &size);
wStringToString(processName, tmpName);

// 关闭占用的文件句柄
HANDLE h_tar = NULL;
if (DuplicateHandle(hProcess, (HANDLE)pHandle->Handle, GetCurrentProcess(), &h_tar, 0, FALSE, DUPLICATE_SAME_ACCESS | DUPLICATE_CLOSE_SOURCE))
{
CloseHandle(h_tar);
}
CloseHandle(hCopy);
CloseHandle(hProcess);
return;
}
CloseHandle(hCopy);
CloseHandle(hProcess);
}
HeapFree(GetProcessHeap(), 0, pHandleInfo);
return;
}

界面展示实现

界面展示这里使用了 Qt 的 QML 进行实现,页面比较简单,包含以下两个界面。
主界面
主界面只是简单展示一下文本,其中文本会根据注册表添加成功或失败展示相应的信息(在注册表功能实现部分的代码开头可以看到)。
import QtQuick 2.9
import QtQuick.Window 2.2

Window {
id: w
visible: true
width: 320
height: 120
title: "unlockfile"

function showInfo(infoText) {
info.text = infoText
}

Text {
id: info
anchors.fill: parent
horizontalAlignment: Text.AlignHCenter
verticalAlignment: Text.AlignVCenter
text: "Enjoy!"
}
}

解锁界面
解锁界面稍微复杂一些,通过 Timer 定时器实现动态的查找中...展示,在解锁文件完成后会通过showFile函数展示占用的进程名。
import QtQuick 2.9
import QtQuick.Window 2.2

Window {
id: w
visible: true
width: 480
height: 200
title: "unlockfile"

property bool run: true
property int count: 0

function showFile(fileText) {
file.text = fileText
run = false
}

Text {
id: file
anchors.fill: parent
horizontalAlignment: Text.AlignHCenter
verticalAlignment: Text.AlignVCenter
text: "查找中"
}

Timer {
interval: 1000
running: run
repeat: true
onTriggered: {
let str = ""
for (let i = 0; i < count; i++) {
str += "."
}
file.text = "查找中" + str
count = (count + 1) % 4
}
}
}

其中设置进程名的代码操作在 main.cpp 文件中:
QThreadPool::globalInstance()->start([=]() {
string fileName = gbkToUTF8(argv[1]).substr(3);
if (init())
{
closeFile(fileName);
string info = u8"解锁成功, 占用程序: " + processName;
QMetaObject::invokeMethod(root, "showFile",
Q_ARG(QVariant, QString::fromStdString(info)));
}
});

制作安装程序

最后再介绍如何制作程序的安装程序,前提是需要先对 Qt 程序进行打包(此处省略 500 字),然后就可以使用Inno Setup工具进行制作了,步骤如下:
1.设置应用的名称版本:
2.设置应用的安装路径,同时允许用户进行自定义:
3.设置执行程序的路径和根文件夹路径:
4.之后全部点击下一步,然后在选择语言时按需选择:
5.然后可以设置程序的图标和安装程序输出路径,之后全部点击下一步即可:
6.然后就可以在输出路径看到生成的安装程序:
7.点击运行就是熟悉的程序安装界面了,按需进行选择后即可使用,同时需要以管理员身份运行:
安装程序也可以在GitHub中找到,目前只在 win10 和 win11 进行了测试。


总结

本文讲解了如何实现一个解除文件占用的小程序,不过还存在很多不完善的地方:

◆注册表添加项无法自定义,同时未提供删除注册表的操作;

◆不是列出所有占用项让用户选择进行解锁;

◆只测试了 win10 和 win11 环境下的运行;

◆未实现批量解除文件占用的功能;

◆...

不过相信各位参考本文的思路,实现以上的功能也是轻而易举,欢迎一起交流讨论

参考文献

在实现这个小工具的过程中,踩了很多坑,非常感谢以下文章所提供的解决思路:
用 Windows Native API 枚举所有句柄及查找文件句柄对应文件名的方法
(https://www.cnblogs.com/Philip-Tell-Truth/p/6932966.html)
C++解除文件占用
(https://blog.csdn.net/dasgk/article/details/27363021)
C++程序环境变量添加以及右键菜单
(https://blog.csdn.net/z345436330/article/details/114757632)
跨进程关闭句柄的方式
(https://bbs.kanxue.com/thread-219110.htm)

看雪ID:庄周の蝴蝶

https://bbs.kanxue.com/user-home-830009.htm

*本文为看雪论坛优秀文章,由 庄周の蝴蝶 原创,转载请注明来自看雪社区

# 往期推荐

1、IOFILE exploit入门

2、入门编译原理之前端体验

3、如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

4、反恶意软件扫描接口(AMSI)如何帮助您防御恶意软件

5、sRDI — Shellcode反射式DLL注入技术

6、对APP的检测以及参数计算分析

球分享

球点赞

球在看


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458523694&idx=2&sn=755052811ff88030f1e5f9ace3135271&chksm=b18d28a486faa1b2d037e8f60b8e56610053e32d2c0ee0dba5565b111e7a6098e8327e5e1727&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh