我有一个 WDFFILEOBJECT 句柄(0x0000057fedd9b8b8),我想知道它的底层 FILE_OBJECT 地址,以便我可以!object xxxx用来查询 FILE_OBJECT.PointerCount和.HandleCount. 我可以使用什么 windbg 命令?
!wdfkd.wdfhandle 0x0000057fedd9b8b8 f0似乎没有提供该信息。
如果它是 WDFDEVICE 句柄,我知道!wdfkd.wdfdevice可以告诉我底层的 DEVICE_OBJECT,但是 WDFFILEOBJECT 呢?
====== 解决(很多天后)=====
根据snoone的提示,我想通了。实时信息如下:
这一次, FileObject= 0x0000057fede811b8。
我必须先使用!wdfkd.handle 0x0000057fede811b8 f0,因为句柄值 0x0000057fede811b8 不是有效的内核地址,!wdfkd.handle它告诉句柄后面的 KMDF FxObject 的真实内核地址。