我的目标是在内存中读取或复制以下文件:
C:\Windows\appcompat\Programs\Amcache.hve
使用与此类似的防锈代码:
let mut test = match File::open("C:\\Windows\\appcompat\\Programs\\Amcache.hve".to_string()) {
Ok(file) => file,
Err(err) => {
eprintln!("An error occured during the opening of \'{}\'.", err);
std::process::exit(0)
}
};
正如预期的那样,我得到一个错误“该进程无法访问该文件,因为它正在被另一个进程使用。(操作系统错误 32)”,因为它是一个受保护的文件。我的最终目标是阅读它并使用 crate nt_hive 解析它以获取有关程序执行的取证信息。
有没有办法使用具有管理员权限的代码正确复制/阅读它?
我尝试了很多 crate,阅读了一些博客,但我没有找到任何有用的信息。我想知道使用 winapi 是否改变了什么......?