[求助]WinDbg中如何列出当前被调试进程中所有打开的文件路径?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]WinDbg中如何列出当前被调试进程中所有打开的文件路径?

发表于: 2011-2-17 21:44 7091

[求助]WinDbg中如何列出当前被调试进程中所有打开的文件路径?

stu

活跃值

2011-2-17 21:44

7091

RT,只知道用!handle来列出所有句柄，然后通过file型的句柄来!handle xxx f却不能得到具体的文件路径。

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・0

免费

支持

分享

最新回复 (7)

雪币： 656

活跃值： (448)

能力值：

( LV12，RANK：360 )

在线值：

发帖

回帖

粉丝

关注

Mx￠Xgt 7: 2 楼

lz 是windbg 啊打错了

2011-2-17 21:46

0

雪币： 1259

活跃值： (38)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

stu: 3 楼

谢谢，不过麻烦说重点。

2011-2-17 22:12

0

雪币： 656

活跃值： (448)

能力值：

( LV12，RANK：360 )

在线值：

发帖

回帖

粉丝

关注

Mx￠Xgt 7: 4 楼

我的重点已经说完了.友情顶贴

2011-2-17 22:50

0

雪币： 29

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

webwizard: 5 楼

关注！！！！

2011-2-18 03:25

0

雪币： 154

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

leeonegor: 6 楼

同求

！！！

2011-2-18 08:39

0

雪币： 234

活跃值： (83)

能力值：

( LV10，RANK：170 )

在线值：

发帖

回帖

粉丝

关注

wyshzz 4: 7 楼

bp kernel32!CreateFileA "da poi(esp+4);g"

bp kernel32!CreateFileW "du poi(esp+4);g"

等等等等。。。

2011-2-18 09:52

0

雪币： 357

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

Ditans: 8 楼

使用内核模式：

可以列出当前进程的所有File类型：

1	`!handle 0 3 -1 File`

结果：

1

2

3

4

5

00fc: Object: 890bdf90  GrantedAccess: 00120089 Entry: e3bef1f8
Object: 890bdf90  Type: (8a662ca0) File
    ObjectHeader: 890bdf78 (old version)
        HandleCount: 1  PointerCount: 2
        Directory Object: 00000000  Name: \Virtual Machine\Symbols\ntkrpamp.pdb\17CCA6918E304439ABDE9B9CE264C4041\ntkrpamp.pdb {HarddiskVolume2}

2011-2-18 10:08

0

返回

stu

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区