Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponente?
 

Hi,

ganz schnell gestellt die Frage: wie ermittele ich den Besitzer (egal ob Prozess oder Thread herauskommt) eines Mutex unter Win32 (NT-basiert) ohne Benutzung eines Treibers?

KMUTANT, TEB und PEB sind bekannt und müssen hier nicht diskutiert werden, insofern es nicht Usermode ist.
Ach ja: Admin-Privilegien dürfen *nicht* vorausgesetzt werden.

Es geht darum einen Prozess abzuschießen, der einen Mutex quasi als Geisel hält :mrgreen: ... dazu braucht man natürlich dessen PID.

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

tut mir leid, unmoeglich. Das einzige was du pruefen kannst ist ob der mutant vom aktuellen thread "geowned" wird, mit hilfe von NtQueryMutant (class MutantBasicInformation)

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

abgesehen davon, einen prozess der auf einen mutant waert sollte problemlos terminierbar sein, solange er sich nicht in einer kritischen region befindet

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

Das hilft ja nun wiederum nicht viel, es sei denn ich würde mich in alle fremden Usermode-Threads schleichen und dort besagte Abfrage machen.

Das steht außer Frage. Logisch ist er das. Nur wie finde ich denn den korrekten *Besitzer*? Ein Handle auf den Mutex können ja auch andere Prozesse/Threads haben. Das sagt also nichts darüber aus, ob dieser oder jener Prozess der Übeltäter ist.

Danke erstmal für die Antworten.

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

Ist mir klar dass das nicht viel hilft, aber das ist so ziemlich das einzigste was du rausfinden kannst (wenn du ueberhaupt einen handle mit entsprechenden rechten hast)

Wie bereits erwaehnt, mit den "Einschraenkungen" die du fuer die Loesung voraussetzt absolut unmoeglich.

Ich hoffe ich hab das nicht impliziert, aber das laesst sich auf diese Weise gar nicht ermitteln ;)

Fazit: Mit den genannten Einschraenkungen ist das Unterfangen unmoeglich, da hilft langes diskutieren auch nicht weiter ;) Entweder du lockerst die Einschraenkungen oder du laesst es sein. Zum Glueck leben wir nicht mehr in DOS zeiten :mrgreen:

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

Aber zeigen nicht manche Programme wie der Process Explorer von SysInternals jegliche Handles an? Und das auch ohne Zusatz-Treiber?

Re: Besitzer eines Mutex ermitteln *ohne* Kernelmodekomponen
 

Kleiner Tip für den Unwissenden. Der Process Explorer benutzt einen Treiber. Schau mal in die Ressourcen der procexp.exe.
Apropos: was der Process Explorer anzeigt, bekommt man auch ohne Treiber heraus. Der Treiber ist offensichtlich für andere Sachen zuständig. Oder hast du eine Stelle gesehen, wo der Process Explorer den Besitzer eines Mutex anzeigt. Ich nicht. Ansonsten erklär mal wo (@BenBE)!

@Thomas: Danke, aber die Einschränkungen stehen nunmal.

Mahlzeit,