windows - 谁拥有 Windows 中的文件句柄？

Question

你如何发现哪个进程对文件有一个打开的句柄？具体来说，您如何以编程方式执行此操作？

Answer 1

可能有它的API，我不知道。如果有，它可能是内核中的 API。

另一种可能性（抱歉含糊不清，但我现在要回答这个问题，以防其他人发布更好的答案）是没有（记录的）API，并且执行此操作的程序通过使用未记录的知识来做到这一点句柄的内容，和/或句柄（当被视为指针时）指向的内存：例如，我找到了 A Process' Kernel Object Handle Table，我认为那（人们说他们有逆向工程未记录的内存结构）是我记得几年前在 Softice 手册中阅读的内容。

寻找更多信息的地方可能是File System Filter Drivers。

另一种（也许更好）的方法可能是使用depends或dumpbin /imports尝试查看相关的 Sysinternals 程序正在使用哪些 API。

Answer 2

Sysinternals 的流程浏览器会告诉您这一点。