Microsoft MVP성태의 닷넷 이야기
.NET Framework: 335. C# - (핸들을 이용하여) 모든 열린 파일을 열람 [링크 복사], [링크+제목 복사]
조회: 16352
글쓴 사람
홈페이지
첨부 파일

C# - (핸들을 이용하여) 모든 열린 파일을 열람

아시는 것처럼, .NET Framework 에서는 기본적으로 프로세스에 열려진 '핸들'목록을 얻을 수 있는 방법이 없습니다. 사실, 저수준의 핸들이라는 개념 자체가 닷넷에서는 감춰지므로 이해가 됩니다.

하지만, P/Invoke를 이용하면 C/C++ 에서 했던 것과 동일하게 구현을 할 수 있습니다. 마침, Codeplex에서 이와 관련된 소스 코드를 찾아냈는데요.

DetectOpenFiles.cs - CodePlex
; https://vmccontroller.svn.codeplex.com/svn/VmcController/VmcServices/DetectOpenFiles.cs

한가지 아쉬운 점이라면, 해당 코드가 32비트에서만 동작할 뿐 64비트에서 실행하면 다음과 같은 예외를 발생시킵니다.

System.OverflowException was unhandled by user code
  Message=Arithmetic operation resulted in an overflow.
  Source=mscorlib
  StackTrace:
       at System.IntPtr.op_Explicit(IntPtr value)
       at WebApplication1.DetectOpenFiles.OpenFiles.<GetEnumerator>d__0.MoveNext() in d:\...\WebApplication1\DetectOpenFiles.cs:line 273
       at WebApplication1.WebForm1.Page_Load(Object sender, EventArgs e) in d:\...\WebApplication1\WebForm1.aspx.cs:line 19
       at System.Web.Util.CalliHelper.EventArgFunctionCaller(IntPtr fp, Object o, Object t, EventArgs e)
       at System.Web.Util.CalliEventHandlerDelegateProxy.Callback(Object sender, EventArgs e)
       at System.Web.UI.Control.OnLoad(EventArgs e)
       at System.Web.UI.Control.LoadRecursive()
       at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
  InnerException: 

다행히 64비트 포팅이 어렵지는 않습니다. 우선, SYSTEM_HANDLE_ENTRY에서 포인터 값이 기존에는 int 로 표현되어 있는 것을 IntPtr로 수정해야 합니다.

[StructLayout(LayoutKind.Sequential)]
private struct SYSTEM_HANDLE_ENTRY
{
    public int OwnerPid;
    public byte ObjectType;
    public byte HandleFlags;
    public short HandleValue;
    public IntPtr ObjectPointer;
    public int AccessMask;
}

그 외, handlCount를 읽어들이는 부분에서 4byte가 아닌 8byte를 읽어야 하고,


long handleCount = 0;
if (IntPtr.Size == 4)
{
    handleCount = Marshal.ReadInt32(ptr);
}
else
{
    handleCount = Marshal.ReadInt64(ptr);
}

포인터 처리에 대해서 "(int)ptr" 와 같은 표현을 "ptr.ToInt64()" 와 같이 바꿔주어야 합니다.

기타 결정적인 차이점이, "GetFileNameFromHandle" 메서드 안에서 발생하는데요.

private static bool GetFileNameFromHandle(IntPtr handle, out string fileName)
{
    ...[생략]...
    NT_STATUS ret = NativeMethods.NtQueryObject(handle, OBJECT_INFORMATION_CLASS.ObjectNameInformation, ptr, length, out length);
    if (ret == NT_STATUS.STATUS_BUFFER_OVERFLOW)
    {
        ...[생략]...
        ret = NativeMethods.NtQueryObject(handle, OBJECT_INFORMATION_CLASS.ObjectNameInformation, ptr, length, out length);
    }
    if (ret == NT_STATUS.STATUS_SUCCESS)
    {
        fileName = Marshal.PtrToStringUni((IntPtr)((int)ptr + 8), (length - 9) / 2);
        return fileName.Length != 0;
    }
    ...[생략]...
}

위에서 파일 이름을 가져오는 포인터 옵셋값(+8)이 64비트에서는 바뀐다는 점입니다. 정확한 위치를 알기 위해 64비트로 해당 프로그램을 실행시킨 후 ptr.ToInt64() 값을 알아내야 합니다. 디버거의 "Watch" 창을 이용하여 알아낸 값이 "0x00000000022b0930"라고 가정하고 진행했을 때, 이 값을 메모리 윈도우(Ctrl+D,Y)창에서 확인해 봅니다. 제 경우에는 다음과 같이 나왔습니다.

list_all_file_handle_1.png

보시는 것처럼, 일정 바이트 후에 "\Device\HarddiskVolume2\Windows\assembly\pubpol60.dat" 라는 (유니코드) 문자열이 확인되는데, 시작 바이트가 16바이트 이후임을 계산해 낼 수 있습니다. 최종적으로 이를 반영하면 다음과 같은 코드가 나옵니다.

if (IntPtr.Size == 4)
{
    fileName = Marshal.PtrToStringUni((IntPtr)((int)ptr + 8), (length - 9) / 2);
}
else
{
    IntPtr namePtr = new IntPtr(ptr.ToInt64() + 16);
    fileName = Marshal.PtrToStringUni(namePtr);
}

옵셋값은 테스트 결과 다행히 Windows 2003부터 Windows 8까지 전혀 변함없이 사용할 수 있었습니다. 하지만, 코드를 실행하는 권한에 따라서는 범위가 달라지므로 사용시 이를 감안해야 합니다.

첨부한 프로젝트는 위의 코드를 테스트 할 수 있는 간략한 윈폼 프로젝트입니다.

list_all_file_handle_2.png




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]





[최초 등록일: ]
[최종 수정일: 9/4/2012 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2017-09-01 07시45분
[최의현] 해당 리스트 Close하려면 혹시 어떻게 해야 하는지 아시나요?
[손님]
2017-09-01 08시30분
[최의현] Process Explorer 에서 아래쪽 패널(하위핸들 - file, Event 등등)에 있는 핸들을 Close시킬 수 있더라구요. 우클릭 - Close Handle
같은 기능을 닷넷에서 구현하려는데 잘 안되어서 자문 구하고자 왔습니다.
[손님]
2017-09-01 03시40분
Close는 Win32 API의 CloseHandle을 이용하시면 PInvoke로 호출하시면 됩니다. 참고로, Process Explorer의 경우 다른 프로세스의 핸들을 닫는 경우인데요. 이럴 때는 반드시 그 프로세스 공간 내에서 실행된 코드를 통해 CloseHandle을 호출해야 합니다. 아마 Process Explorer는 그렇게 했을 것입니다.
정성태
2017-09-04 05시18분
[최의현] 아 그 프로세스 공간에서 해야되는군요.
그걸 놓치고 있었네요.
고유 핸들값이 따로 있는줄 알고 삽질 했네요.
덕분에 잘 배워갑니다. 감사합니다.
[손님]
2019-10-17 07시15분
C# - 닷넷에서 프로세스가 열고 있는 파일 목록을 구하는 방법
; http://www.sysnet.pe.kr/2/0/10833

정성태
2020-03-16 11시46분
해당 프로세스 공간에 침입하지 않고도 다른 프로세스의 핸들을 닫는 방법이 아래의 글에 나와 있습니다.

How can I close a handle in another process?
; https://scorpiosoftware.net/2020/03/15/how-can-i-close-a-handle-in-another-process/

간단하게 정리해 보면, 다른 프로세스의 핸들을 DUPLICATE_CLOSE_SOURCE 옵션을 적용해 DuplicateHandle을 호출한 후 얻은 핸들 값을 CloseHandle 시키면 됩니다.
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12222정성태6/3/202010VS.NET IDE: 146. error information: "CryptQueryObject" (-2147024893/0x80070003)
12221정성태6/3/202030Windows: 168. 비어 있지 않은 디렉터리로 symbolic link(junction) 연결하는 방법
12220정성태6/3/202028.NET Framework: 907. C# DLL로부터 TLB 및 C/C++ 헤더 파일(TLH)을 생성하는 방법
12219정성태6/1/2020103.NET Framework: 906. C# - lock (this), lock (typeof(...))를 사용하면 안 되는 이유파일 다운로드1
12218정성태5/31/202074.NET Framework: 905. C# - DirectX 게임 클라이언트 실행 중 키보드 입력을 감지하는 방법
12217정성태5/24/202030오류 유형: 615. Transaction count after EXECUTE indicates a mismatching number of BEGIN and COMMIT statements. Previous count = 0, current count = 1.
12216정성태5/15/2020116.NET Framework: 904. USB/IP PROJECT를 이용해 C#으로 USB Keyboard 가상 장치 만들기
12215정성태5/12/2020139개발 환경 구성: 490. C# - (Wireshark의) USBPcap을 이용한 USB 패킷 모니터링파일 다운로드1
12214정성태5/5/2020114개발 환경 구성: 489. 정식 인증서가 있는 경우 Device Driver 서명하는 방법 (2) - UEFI/SecureBoot
12213정성태5/3/2020206개발 환경 구성: 488. (코드로 가상 USB 장치를 만들 수 있는) USB/IP PROJECT 소개
12212정성태5/1/2020102개발 환경 구성: 487. UEFI / Secure Boot 상태인지 확인하는 방법
12211정성태4/27/2020210개발 환경 구성: 486. WSL에서 Makefile로 공개된 리눅스 환경의 C/C++ 소스 코드 빌드
12210정성태4/20/2020311.NET Framework: 903. .NET Framework의 Strong-named 어셈블리 바인딩 (1) - app.config을 이용한 바인딩 리디렉션 [1]파일 다운로드1
12209정성태4/13/2020169오류 유형: 614. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우 (2)
12208정성태4/12/2020206Linux: 29. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우
12207정성태4/2/2020196스크립트: 19. Windows PowerShell의 NonInteractive 모드
12206정성태4/2/2020274오류 유형: 613. 파일 잠금이 바로 안 풀린다면? - The process cannot access the file '...' because it is being used by another process.
12205정성태4/2/2020177스크립트: 18. Powershell에서는 cmd.exe의 명령어를 지원하진 않습니다.
12204정성태4/1/2020169스크립트: 17. Powershell 명령어에 ';' (semi-colon) 문자가 포함된 경우
12203정성태3/18/2020362오류 유형: 612. warning: 'C:\ProgramData/Git/config' has a dubious owner: '...'.
12202정성태3/18/2020387개발 환경 구성: 486. .NET Framework 프로젝트를 위한 GitLab CI/CD Runner 구성
12201정성태3/18/2020195오류 유형: 611. git-credential-manager.exe: Using credentials for username "Personal Access Token".
12200정성태3/18/2020488VS.NET IDE: 145. NuGet + Github 라이브러리 디버깅 관련 옵션 3가지 - "Enable Just My Code" / "Enable Source Link support" / "Suppress JIT optimization on module load (Managed only)"
12199정성태3/17/2020190오류 유형: 610. C# - CodeDomProvider 사용 시 Unhandled Exception: System.IO.DirectoryNotFoundException: Could not find a part of the path '...\f2_6uod0.tmp'.
12198정성태3/17/2020199오류 유형: 609. SQL 서버 접속 시 "Cannot open user default database. Login failed."
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...