Behandeln von v5.0
Von Mark Russinovich
Veröffentlicht: 26. Oktober 2022
Download-Handle(729 KB)
Einführung
Haben Sie sich je gefragt, welches Programm eine bestimmte Datei oder ein bestimmtes Verzeichnis geöffnet hat? Jetzt können Sie herausfinden. Handle ist ein Hilfsprogramm, das Informationen zu geöffneten Handlen für jeden Prozess im System anzeigt. Sie können es verwenden, um die Programme anzuzeigen, die eine Datei geöffnet haben, oder um die Objekttypen und Namen aller Handle eines Programms anzuzeigen.
Sie können auch eine GUI-basierte Version dieses Programms, Prozess-Explorer, hier unter Sysinternals erhalten.
Installation
Sie führen Handle aus, indem Sie "Handle" eingeben. Sie müssen über administrative Berechtigungen zum Ausführen von Handle verfügen.
Verwendung
Der Handle zielt darauf ab, nach geöffneten Dateibezügen zu suchen. Wenn Sie also keine Befehlszeilenparameter angeben, werden die Werte aller Handle im System aufgelistet, die auf geöffnete Dateien und die Namen der Dateien verweisen. Es dauert auch mehrere Parameter, die dieses Verhalten ändern.
Verwendung:handle [[-a [-l]] [-v|-vt] [-u] | [-c <handle> [-y]] | [-s]] [-p <process>|<pid>] [name]
| Parameter | Beschreibung |
|---|---|
| -a | Dumpinformationen zu allen Arten von Handlen, nicht nur diejenigen, die auf Dateien verweisen. Andere Typen umfassen Ports, Registrierungsschlüssel, Synchronisierungsgrundtypen, Threads und Prozesse. |
| -l | Zeigen Sie einfach Seitendatei-gesicherte Abschnittshandpunkte an. |
| -c | Schließt den angegebenen Handle (interpretiert als Hexadezimalzahl). Sie müssen den Prozess durch seine PID angeben. WARNUNG: Das Schließen von Handlen kann zu Anwendungs- oder Systeminstabilität führen. |
| -g | Druckzugriff gewährt. |
| -Y | Bitten Sie nicht, die Bestätigung des Schließens zu behandeln. |
| -s | Drucken der Anzahl der geöffneten Ziehpunkttypen. |
| -u | Zeigen Sie beim Suchen nach Handlen den eigenen Benutzernamen an. |
| -v | CSV-Ausgabe mit Trennzeichen. |
| -Vt | CSV-Ausgabe mit Tabstopptrennzeichen. |
| -p | Anstatt alle Handle im System zu untersuchen, beschränkt dieser Parameter den Scan dieser Prozesse, die mit dem Namenprozess beginnen. So: handle -p exp würde die geöffneten Dateien für alle Prozesse abbilden, die mit "exp" beginnen, die den Explorer enthalten würden. |
| name | Dieser Parameter ist vorhanden, damit Sie direkt nach Verweisen auf ein Objekt mit einem bestimmten Namen suchen können. Wenn Sie beispielsweise wissen möchten, welchen Prozess (falls vorhanden) "c:\windows\system32" enthält, können Sie Folgendes eingeben: behandeln von Windows\System Die Namensgleichung ist groß-insensitiv, und das angegebene Fragment kann überall in den Pfaden sein, an denen Sie interessiert sind. |
Behandeln der Ausgabe
Wenn sie nicht im Suchmodus (aktiviert durch Angeben eines Namenfragments als Parameter) werden die Ausgabe in Abschnitte für jeden Prozess unterteilt, für den Sie Informationen drucken. Gestrichelte Linien werden als Trennzeichen verwendet, unmittelbar unterhalb derer der Prozessname und dessen Prozess-ID (PID) angezeigt werden. Unterhalb des Prozessnamens werden Handle-Werte (in Hexadezimal) aufgeführt, der Typ des Objekts, dem der Handle zugeordnet ist, und den Namen des Objekts, wenn es eine hat.
Im Suchmodus werden die Prozessnamen und iden auf der linken Seite aufgeführt, und die Namen der Objekte, die eine Übereinstimmung hatten, befinden sich rechts.
Weitere Informationen
Weitere Informationen zum Objekt-Manager finden Sie unter Windows Internals, 4. Edition oder durch Durchsuchen des Objekt-Manager-Namensraums mit WinObj.
Download-Handle(729 KB)