处理 v4.22

由 Mark Russin进行标记

发布日期:2019 年 6 月 14 日

下载下载句柄 (887 KB)

简介

曾经想知道哪个程序打开了特定的文件或目录? 现在,你可以了解一下。 Handle 是一个实用工具,它显示有关系统中任何进程的打开句柄的信息。 可以使用它查看打开文件的程序,或查看程序的所有句柄的对象类型和名称。

还可以从 Sysinternals 获取此程序的基于 GUI 的版本,即进程资源管理器。

安装

通过键入 "handle" 运行 Handle。 您必须具有管理权限,以运行 Handle

使用情况

Handle 以搜索打开的文件引用为目标,因此,如果未指定任何命令行参数,它将列出系统中引用打开的文件的所有句柄的值和文件的名称。 它还采用多个参数来修改此行为。

usage: handle [[-a] [-u] |[-c handle > [-l] [-y]] |[-s]][-p < processname > | <pid >> [name]

参数 说明
-a 转储有关所有类型的句柄的信息,而不只是引用文件的句柄。 其他类型的包括端口、注册表项、同步基元、线程和进程。
-c 关闭指定的句柄 (被解释为十六进制数字) 。 必须按进程的 PID 指定进程。
警告: 关闭句柄可能会导致应用程序或系统不稳定。
-l 转储页面文件支持的部分的大小。
-y 不要提示关闭句柄确认。
-s 每种类型的句柄打开的打印计数。
-u 在搜索句柄时显示拥有用户名。
-p 此参数不会检查系统中的所有句柄,而是将 Handle 的扫描范围缩小到以名称进程开头的进程。 因此:
handle -p exp
将转储以"exp"(包括 Explorer)开始的所有进程打开的文件。
name 存在此参数,以便你可以指示 Handle 搜索对具有特定名称的对象的引用。
例如,如果需要知道打开"c:\windows\system32" (打开的进程) ,可以键入:
handle windows\system
名称匹配不区分大小写,指定的片段可以位于你感兴趣的路径中的任何位置。

处理输出

如果未在搜索模式下 (将名称片段指定为参数片段来启用) ,Handle 会将其输出划分为要打印其句柄信息的每个进程的部分。 虚线用作分隔符,紧接在下方,你将看到进程名称及其进程 ID (PID) 。 进程名称下面列出了以十六 (表示的句柄值) 、与句柄关联的对象类型以及对象的名称(如果有)。

在搜索模式下,"句柄"会打印左侧列出的进程名称和 ID,并且具有匹配项的对象的名称位于右侧。

更多信息

可以在第4版内部Windows中查找有关对象管理器的信息,或者使用WinObj 浏览对象管理器名称空间

下载下载句柄 (887 KB)