Winapi 查找与短期句柄关联的文件_Winapi_Reverse Engineering_Handle_Ida

Winapi 查找与短期句柄关联的文件

winapi

Winapi 查找与短期句柄关联的文件,winapi,reverse-engineering,handle,ida,Winapi,Reverse Engineering,Handle,Ida,我正在玩IDA的演示，我正在尝试对一个程序进行反向工程，以找出它使用的其中一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件通过使用，我能够找到调用kernel32\u ReadFile的子例程。我想知道的是，在调用ReadFile之前，如何找出hFile变量指向的是什么在调试模式下，我一直在搜索菜单，但在IDA中找不到任何可以查找与文件句柄关联的文件信息的地方如何将句柄映射到真实文件？此MSDN页面介绍了从文件句柄获取文件名的方法：这就是你要找的信息吗？我不确定您为什么

我正在玩IDA的演示，我正在尝试对一个程序进行反向工程，以找出它使用的其中一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件

通过使用，我能够找到调用

kernel32\u ReadFile

的子例程。我想知道的是，在调用

ReadFile

之前，如何找出

hFile

变量指向的是什么

在调试模式下，我一直在搜索菜单，但在IDA中找不到任何可以查找与文件句柄关联的文件信息的地方

如何将句柄映射到真实文件？

此MSDN页面介绍了从文件句柄获取文件名的方法：

这就是你要找的信息吗？我不确定您为什么不能在进程监视器中直接看到文件名。

我会在

CreateFileA

和

CreateFileW

上设置一个断点，然后查看正在打开的文件。然后，您可以将返回的

HANDLE

值与后续的

ReadFile

调用相匹配。

这就是我正在做的，但如果正在读取特定文件，我希望执行条件断点。不过我找到了一个解决方法，我可以在'nNumberOfBytesToRead==259'上中断，因为这是我想要的文件的唯一性。我还不接受，因为我想在IDA内部找到解决方案，但如果几天内没有人给出解决方案，我会给你答案。