使用!handle <handle_num> 7 <proc_id>显示该句柄的详细信息,其中<handle_num>是句柄值,<proc_id>是进程ID值(均基于十六进制),请参阅此msdn链接了解更多信息。
您可以从用户模式会话中查看您的进程ID,这是最简单的方法,只需在用户模式下附加并输入管道命令|,它将输出如下:
。 0 id:1680附加名称:D:\ test \ MyApp.exe
所以1680将是proc id,然后使用!handle列出句柄,然后在内核模式下输入:
!handle <handle_num> 7 1680
将显示您想要的内容,此here上有一个有用的博客条目。