[WinDBG 技巧] 列举所有Handle(句柄)以及查看Handle 信息

最新推荐文章于 2025-01-24 17:06:54 发布
最新推荐文章于 2025-01-24 17:06:54 发布
阅读量408 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_33953249/article/details/85029405
本文介绍了使用WinDBG的!handle命令调试句柄的方法。通过该命令可以查看进程内所有句柄的类型和值,以及统计信息。同时,也可以查看特定句柄的详细信息。
WinDBG的 !handle 命令可以让你方便调试句柄(handle)。
查看进程内所有句柄, 输入命令行
0:014> !handle
Handle 4
  Type          Directory
Handle 8
  Type          Process
Handle c
  Type          Key
Handle 10
  Type          Mutant
Handle 14
  Type          ALPC Port
Handle 18
  Type          Key
Handle 1c
  Type          Event
Handle 20
  Type          Key
 ... (省略)
Handle 7e0
  Type          Mutant
392 Handles
Type            Count
None            17
Event           134
Section         47
File            35
Directory       3
Mutant          34
WindowStation   2
Semaphore       24
Key             47
Token           1
Process         3
Thread          27
Desktop         1
IoCompletion    4
Timer           5
Job             1
KeyedEvent      1
TpWorkerFactory 6

从WinDBG输出结果我们可以看到所有句柄的类型和值,以及统计信息(一共392个handle,其中有35个文件句柄,47个注册表句柄 .... )。
如果想查看某个句柄的详细信息, 可以用命令:
0:014> !handle 0x5c8 f
Handle 5c8
  Type          Key
  Attributes    0
  GrantedAccess 0x20019:
         ReadControl
         QueryValue,EnumSubKey,Notify
  HandleCount   2
  PointerCount  3
  Name          \REGISTRY\USER\S-1-5-21-2127521184-1604012920-1887927527-2966534\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
  Object Specific Information
    Key last write time:  16:52:14. 5/20/2009
    Key name FileExts
0x5c8 是句柄的值, 参数f 表示显示全部信息。 我们可以看到句柄0x5c8 是注册表句柄,路径为\REGISTRY\USER\S-1-5-21-2127521184-1604012920-1887927527-2966534\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts。
值得一提的是,WinDBG 还提供了!htrace 命令,可以很方便来用检查句柄泄露(Handle Leak), 下次再写篇blog 专门介绍 !htrace 。

 
windbg !htrace 学习总结
bcbobo21cn的专栏
03-31 2790
windbg-!htrace(跟踪句柄泄漏) http://blog.youkuaiyun.com/hgy413/article/details/7631187 !htrace !htrace(Handle Trace) 扩展用于显示一个或多个句柄的堆栈回溯信息。 直接用!htrace -?可以看到简单使用说明: [cpp] view plain copy 0:000> !
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 9000
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
Windbg调试windows handle泄漏
白发渔樵
11-20 1603
Visual Studio是开发时常用的利器,但是有些情况还是需要用到windbg作为调试工具, 1. windbg安装方便,直接拷贝也可以使用 2. windbg更为轻量级,内存占用更少 3. windbg可以方便的在没有源代码时支持调试 4. windbg可以支持调试脚本 5. windbg可以方便的进行内存检查 6. windbg可以查看crash dump 在工作的时候可
[WinDBG 技巧] 列举所有Handle句柄)以及查看Handle 信息
anjichan4261的博客
05-22 873
WinDBG的 !handle 命令可以让你方便调试句柄(handle)查看进程内所有句柄, 输入命令行 0:014> !handleHandle 4 Type DirectoryHandle 8 Type ProcessHandle c Type KeyHandle 10 Type ...
windbg学习21(!handle和!cs)
rongwenbin的专栏
02-26 2244
1.查看句柄信息!handle !handle 扩展显示目标系统中一个或所有进程拥有的句柄信息 [cpp] view plaincopy 0:001> !handle  Handle 4    Type          Directory  Handle 8    Type          File  Handle c    Type          File
32.windbg-!handle(句柄信息)
hgy413的专栏
10-21 6936
!handle !handle 扩展显示目标系统中一个或所有进程拥有的句柄信息 0:001> !handle Handle 4 Type Directory Handle 8 Type File Handle c Type File Handle 10 Type Key Handle 14 Type
windbg 学习笔记 FOR 内核调试() --进程句柄HANDLE_TABLE
做一个优雅的程序员
12-22 1896
<br />想当年初学核编,阅读第三章的内核对象的时候跟看天书没 什么感觉死命在想到底内核对象,句柄是个什么东西干嘛用的于是我们工作室的老大就对我说这篇看过就过了学到后面你自然会明白的<br />     我想也是, 很多时候感觉学东西的确是这样暂时看不懂的先放着过段时间再看回来就恍然大悟了.我前段时间又看了下核编的第三章唯一的收获就是能够大概了解到hanle这个所谓的索引的作用了.我也跟工作室的小学弟讲过我理解的句柄(但是讲完看到他们茫然的表情~郁闷了~没办法可能知识面实践经验等还不足以理解我说的东西
windbg调试
mtAsnow
09-26 572
添加环境变量: 1、windbg(x86)访问符号需要两个文件(SYMSRV.DLL和SYMSTORE.EXE),故将它们的路径(windbg的安装目录)添加到主path环境变量 操作方法:我的电脑点右键→属性→高级→环境变量,在系统变量列表框中找到path双击,在变量值最后加一个分号再把安装目录写上,点确定。 2、新建一个环境变量_NT_SYMBOL_PATH值为:SRVd:\mysymbolh...
Windbg调试工具常用命令详解
handle`分别提供进程和句柄信息。 12) 线程相关信息 `!threads`列出所有线程,`t`和`p`用于单步执行线程。 13) 断点管理 `bp`设置断点,`bc`清除断点,`bl`查看当前断点状态。 14) 跟踪和步进 `F10`和`F11`...
windbg 脚本学习总结
bcbobo21cn的专栏
06-17 1263
windbg 脚本简单入门 http://blog.youkuaiyun.com/superliuxing/article/details/19206985 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,应用程序调试,远程调试,dump分析等于一身,真是杀人灭口必备利器。但是也由于其太过
查看WINDOWS环境各种资源((CPU、内存、句柄、加载dll、线程及堆栈等)
08-27
查看WINDOWS环境各种资源((CPU、内存、句柄、加载dll、线程及堆栈等)
windbg学习笔记 FOR 内核调试() --进程句柄HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1828
windbg学习笔记 FOR 内核调试() --进程句柄HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
windbg分析句柄泄漏
杰克东的专栏
11-22 543
分析命令 1、!htrace -enble。 2、执行重现过程,并且让进城句柄泄漏。 3、通过!htrace -diff 找出有问题的栈。
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
windbg调试句柄问题
波波诸葛伟
09-20 484
dumpheap -type System.Windows.Forms.Form 命令的目的是列出内存堆中所有 System.Windows.Forms.Form 类型的对象。确定 Form 对象的内存地址:在托管代码(C#)中,您可以通过!在复杂的应用程序中,特别是在C++和C#混合编程的环境中,理解句柄和对象之间的关系可能是一个具有挑战性的任务。例如,您可以首先使用!这些信息可以整合到您的设计文档的调试部分,说明如何使用WinDbg进行复杂场景下的调试,特别是在C++和C#代码共存的情况下。
windbg常用命令总结
萧戈的专栏
06-20 3223
    命令                           解析 !process 0 0                显示所有进程 !dt _EPROCESS 地址          所有进程的EPROCESS信息 !process 地址               显示进程的关键信息 !token                      查看访问令牌的有关信息 !ha
WinDBG查找C++句柄泄露
henreash的专栏
01-24 720
代码中构造的mutex泄露,查找!htrace -diff输出内容,找到CPPWindowsProject1!使用lsa CPPWindowsProject1!点击WinDBG左上角的Go按钮继续执行,点击UI上的按钮造成泄露;htrace 或!C++代码(频繁点击About按钮导致Mutex句柄泄露)点击WinDBG左上角的Break按钮进入调试模式;windbg的lsa指令:显式指令对应的源码。找到147行的代码位置。
windbg句柄信息
一步一步
10-18 3556
1.!handle  列出所有句柄 2.!handle handleID f 检查句柄信息 3.!htrace handleID 检查操作句柄的历史记录 4.!cs csID 列出CriticalSection的详细信息 5.~~[owner thread id] 把owner thread id转换成线程号
handler用法
lzhenj的博客
05-02 257
Handler对象与其调用者在同一线程中,如果在Handler中设置了延时操作,则调用线程也会堵塞。每个Handler对象都会绑定一个Looper对象,每个Looper对象对应一个消息队列(MessageQueue)。如果在创建Handler时不指定与其绑定的Looper对象,系统默认会将当前线程的Looper绑定到该Handler上。 在主线程中,可以直接使用new Handler()创建Ha
windbg中!handle命令使用方法
最新发布
06-17
handle命令我们可以:-列出所有句柄,找出可疑句柄(数量多、类型关键)-查看特定句柄的详细信息,特别是引用计数-结合其他命令(如!thread)分析线程状态但是,对于未完成I/O,!handle命令提供的信息有限,需要结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值