如何在内核模式下使用 windbg/kd 从句柄获取文件路径?
问问题
6146 次
1 回答
6
用于!handle <handle_num> 7 <proc_id>显示该句柄的详细信息,其中<handle_num>是句柄值和<proc_id>进程 ID 值(均基于十六进制),请参阅此msdn链接以获取更多信息。
您可以从用户模式会话中获取您的进程 ID,这是最简单的方法,只需在用户模式下附加并输入管道命令|,它将输出如下:
. 0 id: 1680 附加名称: D:\test\MyApp.exe
proc id也是如此1680,然后列出使用的句柄!handle,然后在内核模式下输入:
!handle <handle_num> 7 1680
将显示你想要的,这里有一个有用的博客条目。
于 2013-02-13T16:16:21.310 回答