WinDBG的 !handle 命令可以讓你方便調(diào)試句柄(handle)。

?

查看進(jìn)程內(nèi)所有句柄 ， 輸入命令行?

0:014> !handle
Handle 4
? Type???????? ?Directory
Handle 8
? Type???????? ?Process
Handle c
? Type???????? ?Key
Handle 10
? Type???????? ?Mutant
Handle 14
? Type???????? ?ALPC Port
Handle 18
? Type???????? ?Key
Handle 1c
? Type???????? ?Event
Handle 20
? Type???????? ?Key

?... (省略)

?

Handle 7e0
? Type???????? ?Mutant
392 Handles
Type?????????? ?Count
None?????????? ?17
Event????????? ?134
Section??????? ?47
File?????????? ?35
Directory????? ?3
Mutant???????? ?34
WindowStation? ?2
Semaphore????? ?24
Key??????????? ?47
Token????????? ?1
Process??????? ?3
Thread???????? ?27
Desktop??????? ?1
IoCompletion?? ?4
Timer????????? ?5
Job??????????? ?1
KeyedEvent???? ?1
TpWorkerFactory?6

從WinDBG輸出結(jié)果我們可以看到所有句柄的類型和值，以及統(tǒng)計(jì)信息（一共392個(gè)handle，其中有35個(gè)文件句柄，47個(gè)注冊(cè)表句柄 .... ）。

?

?

如果想 查看某個(gè)句柄的詳細(xì)信息 ， 可以用命令：

?

0:014> !handle 0x5c8 f
Handle 5c8
? Type???????? ?Key
? Attributes?? ?0
? GrantedAccess?0x20019:
???????? ReadControl
???????? QueryValue,EnumSubKey,Notify
? HandleCount? ?2
? PointerCount ?3
? Name???????? ?/REGISTRY/USER/S-1-5-21-2127521184-1604012920-1887927527-2966534/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts
? Object Specific Information
??? Key last write time:? 16:52:14. 5/20/2009
??? Key name FileExts

?

0x5c8 是句柄的值， 參數(shù)f 表示顯示全部信息。 我們可以看到句柄0x5c8 是注冊(cè)表句柄，路徑為/REGISTRY/USER/S-1-5-21-2127521184-1604012920-1887927527-2966534/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts。

?

?

值得一提的是，WinDBG 還提供了 !htrace 命令，可以很方便來(lái)用檢查句柄泄露（Handle Leak）， 下次再寫篇blog 專門介紹 !htrace 。

?

?

>> 原創(chuàng)文章的版權(quán)屬于作者，轉(zhuǎn)載請(qǐng)注明出處( http://blog.csdn.net/WinGeek/ )， 謝謝。 <<

?

?

[WinDBG 技巧] 列舉所有Handle（句柄）以及查看Handle 信息