2

我正在开发一个程序,该程序收集有关系统上运行的进程的一些统计信息。

我有一个代码,它检索一些常规信息,例如可执行文件版本、发布者等。

在我打开 lsass.exe 之前,该代码对我来说很好。当我尝试打开文件进行读取时,CreateFile 失败并出现错误 ERROR_FILE_NOT_FOUND。

这是代码:

auto FileHandle 
    = CreateFile(file_to_process.c_str(), // C:\Windows\System32\lsass.exe
                 GENERIC_READ, 
                 FILE_SHARE_DELETE|FILE_SHARE_READ|FILE_SHARE_WRITE, 
                 NULL, 
                 OPEN_EXISTING, 
                 FILE_ATTRIBUTE_NORMAL, 
                 NULL);

if ( INVALID_HANDLE_VALUE == FileHandle )
{
    int err_v = GetLastError(); // ERROR_FILE_NOT_FOUND
}

此代码是系统服务的一部分,它以“SYSTEM”权限运行。

4

1 回答 1

4

您可能与File System Redirector发生冲突。尝试在 c:\windows\system32 中打开文件的 32 位进程被重定向到 c:\windows\syswow64。这是一个 appcompat 功能,它让 32 位程序有机会在 64 位操作系统上生存。Lsass.exe 确实很特别,在 64 位机器上没有该 EXE 的 32 位版本。

可能的解决方法是:

  • 将您的程序构建到 x64,这样您就可以作为 64 位进程运行并且不会被重定向
  • 改为打开 c:\windows\sysnative\lsass.exe
  • 使用 Wow64DisableWow64FsRedirection() 禁用重定向器。虽然是一个显而易见的解决方案,但请注意它是危险的,因为您的程序可能会无意中加载 64 位 DLL 和炸弹,这是需要重定向器的原因。
于 2013-09-01T10:00:25.873 回答