Handle v5.0

Von Mark Russinovich

Veröffentlicht am 26. Oktober 2022

Download Handle herunterladen (729 KB)

Einführung

Haben Sie sich schon einmal gefragt, für welches Programm eine bestimmte Datei oder ein bestimmtes Verzeichnis geöffnet ist? Jetzt können Sie es herausfinden. Handle ist ein Hilfsprogramm, das Informationen zu geöffneten Handles für jeden Prozess im System anzeigt. Sie können es verwenden, um die Programme anzuzeigen, in denen eine Datei geöffnet ist, oder um die Objekttypen und Namen aller Handles eines Programms anzuzeigen.

Sie können auch eine GUI-basierte Version dieses Programms, Process Explorer, hier unter Sysinternals abrufen.

Installation

Sie führen Handle aus, indem Sie "Handle" eingeben. Zum Ausführen von Handle müssen Sie über Administratorrechte verfügen.

Verwendung

Handle zielt auf die Suche nach offenen Dateiverweisen ab. Wenn Sie also keine Befehlszeilenparameter angeben, werden die Werte aller Handles im System aufgelistet, die auf geöffnete Dateien verweisen, und die Namen der Dateien. Außerdem werden mehrere Parameter gebraucht, um dieses Verhalten zu ändern.

Verwendung: handle [[-a [-l]] [-v|-vt] [-u] | [-c <handle> [-y]] | [-s]] [-p <process>|<pid>] [name]

Parameter BESCHREIBUNG
-a Speicherabbildinformationen zu allen Arten von Handles, nicht nur zu denen, die auf Dateien verweisen. Weitere Typen sind Ports, Registrierungsschlüssel, Synchronisierungsgrundtypen, Threads und Prozesse.
-l Zeigen Sie einfach seitendateigestützte Abschnittshandles an.
-c Schließt das angegebene Handle (interpretiert als hexadezimale Zahl). Sie müssen den Prozess anhand seiner PID angeben.
WARNUNG: Das Schließen von Handles kann zu Anwendungs- oder Systeminstabilität führen.
-g Zugriff mit Druckrecht.
-y Fordern Sie nicht zur Bestätigung des Schließen der Handle auf.
-s Druckanzahl der einzelnen geöffneten Handles.
-u Zeigen Sie den Besitzerbenutzernamen an, wenn Sie nach Handles suchen.
-v CSV-Ausgabe mit Kommastrennzeichen.
-vt CSV-Ausgabe mit Tabtrennzeichen.
-p Anstatt alle Handles im System zu untersuchen, beschränkt dieser Parameter die Handle-Überprüfung auf die Prozesse, die mit dem Namensprozess beginnen. Demnach:
handle -p exp
würde die geöffneten Dateien für alle Prozesse abspeichern, die mit "exp" beginnen, was Explorer enthalten würde.
name Dieser Parameter ist vorhanden, sodass Sie Handle anweisen können, nach Verweisen auf ein Objekt mit einem bestimmten Namen zu suchen.
Wenn Sie beispielsweise wissen möchten, welcher Prozess (falls vorhanden) "c:\windows\system32" geöffnet hat, können Sie Folgendes eingeben:
handle windows\system
Bei der Namensgleichung wird die Groß-/Kleinschreibung nicht beachtet, und das angegebene Fragment kann sich an einer beliebigen Stelle in den Pfaden befinden, an denen Sie interessiert sind.

Handle-Ausgabe

Wenn sie sich nicht im Suchmodus befindet (aktiviert durch Angabe eines Namensfragments als Parameter), unterteilt Handle die Ausgabe für jeden Prozess, für den Handle-Informationen gedruckt werden, in Abschnitte. Gestrichelte Linien werden als Trennzeichen verwendet, direkt darunter sehen Sie den Prozessnamen und seine Prozess-ID (PID). Unterhalb des Prozessnamens werden Handlewerte (in Hexadezimal), der Typ des Objekts, dem das Handle zugeordnet ist, und der Name des Objekts aufgeführt, falls vorhanden.

Im Suchmodus druckt Handle die Prozessnamen und IDs auf der linken Seite und die Namen der Objekte, die eine Übereinstimmung aufweisen, auf der rechten Seite.

Weitere Informationen

Weitere Informationen zum Objekt-Manager finden Sie unter Windows Internals, 4. Edition, oder indem Sie den Objekt-Manager-Namensraum mit WinObj durchsuchen.

Download Handle herunterladen (729 KB)