使用!handle <handle_num> 7 <proc_id>显示详细信息对于处理这种情况<handle_num>是句柄值,并<proc_id>为值进程ID(两个六角型)看到这个MSDN链接以获取更多信息.
您可以从用户模式会话中查看您的进程ID,这是最简单的方法,只需在用户模式下附加并输入管道命令|,它将输出如下:
.0 id:1680附加名称:D:\ test\MyApp.exe
所以1680是proc id,然后列出句柄使用!handle然后在内核模式下输入:
!handle <handle_num> 7 1680
将显示你想要什么,对这个有用的博客文章在这里.