先来说说文件占用

一般常用的有2种

1、DLL或EXE打开占用

这个大家一个知道吧，EXE或DLL被打开后就会处于占用状态

所以这个只需要扫描一下进程的DLL模块就OK

但是还有一种占用：

2、打开文件的占用

这个也是比较常见的占用方式

但是这个就无法有枚举进程DLL这么简单了

主要是利用CreateFile创建一个文件的句柄

所以只需要扫描句柄就可以

但是

你知道怎么扫描吗？

那么今天的重点就来了：扫描进程的File句柄

那么就需要利用一个非常重要但是用法很少的函数了：ZwQueryObject