Besitzer eines Mutex ermitteln ohne Kernelmodekomponente?

Hi,

ganz schnell gestellt die Frage: wie ermittele ich den Besitzer (egal ob Prozess oder Thread herauskommt) eines Mutex unter Win32 (NT-basiert) ohne Benutzung eines Treibers?

KMUTANT, TEB und PEB sind bekannt und müssen hier nicht diskutiert werden, insofern es nicht Usermode ist.
Ach ja: Admin-Privilegien dürfen *nicht* vorausgesetzt werden.

Es geht darum einen Prozess abzuschießen, der einen Mutex quasi als Geisel hält

... dazu braucht man natürlich dessen PID.

tut mir leid, unmoeglich. Das einzige was du pruefen kannst ist ob der mutant vom aktuellen thread "geowned" wird, mit hilfe von NtQueryMutant (class MutantBasicInformation)

abgesehen davon, einen prozess der auf einen mutant waert sollte problemlos terminierbar sein, solange er sich nicht in einer kritischen region befindet

Zitat von w3seek:

tut mir leid, unmoeglich. Das einzige was du pruefen kannst ist ob der mutant vom aktuellen thread "geowned" wird, mit hilfe von NtQueryMutant (class MutantBasicInformation)

Das hilft ja nun wiederum nicht viel, es sei denn ich würde mich in alle fremden Usermode-Threads schleichen und dort besagte Abfrage machen.

Zitat von w3seek:

abgesehen davon, einen prozess der auf einen mutant waert sollte problemlos terminierbar sein, solange er sich nicht in einer kritischen region befindet

Das steht außer Frage. Logisch ist er das. Nur wie finde ich denn den korrekten *Besitzer*? Ein Handle auf den Mutex können ja auch andere Prozesse/Threads haben. Das sagt also nichts darüber aus, ob dieser oder jener Prozess der Übeltäter ist.

Danke erstmal für die Antworten.

Zitat von Mephistopheles:

Das hilft ja nun wiederum nicht viel, es sei denn ich würde mich in alle fremden Usermode-Threads schleichen und dort besagte Abfrage machen.

Ist mir klar dass das nicht viel hilft, aber das ist so ziemlich das einzigste was du rausfinden kannst (wenn du ueberhaupt einen handle mit entsprechenden rechten hast)

Zitat von Mephistopheles:

Nur wie finde ich denn den korrekten *Besitzer*?

Wie bereits erwaehnt, mit den "Einschraenkungen" die du fuer die Loesung voraussetzt absolut unmoeglich.

Zitat von Mephistopheles:

Ein Handle auf den Mutex können ja auch andere Prozesse/Threads haben. Das sagt also nichts darüber aus, ob dieser oder jener Prozess der Übeltäter ist.

Ich hoffe ich hab das nicht impliziert, aber das laesst sich auf diese Weise gar nicht ermitteln

Fazit: Mit den genannten Einschraenkungen ist das Unterfangen unmoeglich, da hilft langes diskutieren auch nicht weiter

Entweder du lockerst die Einschraenkungen oder du laesst es sein. Zum Glueck leben wir nicht mehr in DOS zeiten

**BenBE**

Aber zeigen nicht manche Programme wie der Process Explorer von SysInternals jegliche Handles an? Und das auch ohne Zusatz-Treiber?

Kleiner Tip für den Unwissenden. Der Process Explorer benutzt einen Treiber. Schau mal in die Ressourcen der procexp.exe.
Apropos: was der Process Explorer anzeigt, bekommt man auch ohne Treiber heraus. Der Treiber ist offensichtlich für andere Sachen zuständig. Oder hast du eine Stelle gesehen, wo der Process Explorer den Besitzer eines Mutex anzeigt. Ich nicht. Ansonsten erklär mal wo (@BenBE)!

@Thomas: Danke, aber die Einschränkungen stehen nunmal.

Mahlzeit,