如何从windbg / kd在内核模式下处理文件path?
使用!handle <handle_num> 7 <proc_id>来显示该句柄的详细信息,其中<handle_num>是句柄值, <proc_id>是进程id值(均基于十六进制),请参阅此msdn链接以获取更多信息。
您可以在用户模式会话中闪烁进程ID,这是最简单的方法,只需在用户模式下附加并输入管道命令| 它会输出如下所示:
。 0 id:1680附加名称:D:\ test \ MyApp.exe
因此1680将是proc id,然后使用!handle列出!handle ,然后在内核模式下输入:
!handle <handle_num> 7 1680
将显示你想要的,这里有一个有用的博客条目。