我正在使用SysInternal的handle.exe,并且试图了解输出。
这是一个片段:
24C: File (RW-) C:\Program Files (x86)\Google\Chrome\Application\Dictionaries\en-US-8-0.bdic
2E8: Section \Sessions\1\BaseNamedObjects\CrSharedMem_5ae414b12a307dbddc3f42b8b35edcbf313107945050b3aaab1602ecd937c940
2F4: Section \Sessions\1\BaseNamedObjects\CrSharedMem_ccfa88ab65617b75dbdcb72cb6512bf1a9cc76d07a25e9f770b46f4f7c2234bf
314: File (R--) C:\Windows\Fonts\arial.ttf
324: File (R--) C:\Windows\Fonts\arialbd.ttf
328: File (R--) C:\Windows\Fonts\arialbi.ttf
第一列是HANDLE值,它用作OS内核对象的唯一标识符。类似于数据库记录的ID列。仅在需要将其与调试器在调试代码时告诉您的内容进行比较时才有用。
第二列标识OS对象的类型。“文件”很明显,“部分”是一个允许进程共享内存的对象。“内存映射文件”是编程中的常用短语。“突变”往往会造成混淆,它是普通语音中的互斥量。该程序的作者使用了大卫·卡特勒(David Cutler)喜欢的那种术语,他用VMS口齿不清。WinObj实用程序是查看这些内核对象的另一种方法。
括号中的字母是创建对象时指定的共享选项。CreateFile的第三个参数。重要的是要知道,因为它告诉您另一个程序也想访问该对象时可以做什么。R表示可以读取,W表示可以写入,D表示可以删除对象而不会影响使用该对象的其他任何人。除非所有人都关闭手柄,否则不会破坏该对象。反恶意软件扫描程序或搜索索引器是使用删除共享的程序的典型示例。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句