摘要:
删除系统中的文件会提示 有进程已经打开了这个文件会导致不能删除该文件在网上找到了在ring3下实现文件碎甲的一篇介绍:在ring3上实现文件碎甲功能其中首先需要实现的就是需要枚举出系统中每个进程打开的文件句柄枚举进程 枚举句柄 这些功能都需要用到从Ntdll.dll中导出系统内核函数比如函数 ZwQuerySystemInformation ZwQueryInformationProcess等其中有些函数是M$未公开函数 但是大多都可以从网上查到文档首先从NtDll.dll中导出函数ZwQuerySystemInformation和函数RtlAdjustPrivilegeZwQuerySyst 阅读全文
