Handle

今天让我们来看看sysinternals里一个比较有趣小工具Handle。我们都知道前段时间腾讯的小企鹅和360MM打得不可开交，主要争论点就是谁侵犯了用户的隐私，360果断指责QQ软件浏览了用户的隐私文件，QQ也不甘示弱，直接说360是流氓软件，还推荐大家卸掉360，并以安装360就无法正常运行QQ软件作为威胁，让我们广大的用户着实感到了一阵那个什么紧～～不过这都是过去的事了，我说这些是为了引出我给大家推荐的这个Handle小工具，它没有360和QQ那么让人心醉神迷，但也有她独到的风韵。为什么要在介绍这个小工具时提起360和腾讯的大战呢？那你就继续往下看吧～～还是和往常一样，先给出下载地址。

下载网页：http://technet.microsoft.com/en-us/sysinternals/bb896655，这个是英文版的，版本为3.45。

中文版本下载网页：http://technet.microsoft.com/zh-cn/sysinternals/bb896655，版本为3.20。

这个小工具属于Process Utilities这个类别。

• 简介：

简单来说就是说这个小工具能显示任何一个进程打开了哪些文件，或者是任何一个程序拥有句柄的类型和名字。这个小工具还有一个图形界面的同胞Process Explorer，我也在以后也会慢慢向大家介绍的，不要心急，我认为不喜欢命令行的程序员不是一名好程序员，呵呵～～

看了简介后你该明白为什么我一开始要提360和腾讯的大战了吧，如果我们用这个小工具来测试一下360和QQ软件，就可以知道他们到底窃取了我们的隐私信息没。当然，前提是得把自己的隐私信息存在电脑里，哈哈～～

• 运行平台：

运行平台还是千年不变的。

• 安装：

Handle是一个控制台程序，将它拷贝到执行目录下，键入handle命令来显示它的使用语法。

我把E:\sysinternals加入了系统路径PATH。所以把下载下来的小工具解压到此目录下就可以直接在命令行窗口执行了。

第一次输入handle命令时需要让证书生效一次，以后就不再需要了。

 

点击Agree后还是和其他工具一样，刷的一下出来一大堆信息，一下就把前面的命令行淹没在海洋当中了，可windows的console不像linux的终端能否无限制显示命令条目，所以我们还是可以用老方法来看看它到底显示了哪些内容：

• 使用方法：

在下载页面上我们能够看到这个小工具的使用方法。

意思就是说如果你不加任何参数，只输入handle命令时（就像我上面那样），那么这个工具会返回系统所有进程打开的所有文件句柄，当然你也可以加一些参数来进行设定。

命令的正则表达式如下：

handle [[-a] [-u] | [-c <handle> [-l] [-y]] | [-s]] [-p <processname>|<pid>|<name>]

这个程序有三个部分，handle是程序名，第一个参数有3个可以并列出现的可选项。

-a

用于设定显示的句柄不限于文件句柄，还把所有的注册表项，端口项，同步项，线程和进程都显示出来。

-c

关闭某个句柄（16进制表示）的意思，进程由PID来标识。

-l

显示页面交换文件的大小。

-y

不提示关闭句柄的信息。

-s

打印每种已打开句柄类型的引用计数。

-u

搜索句柄时显示拥有这些句柄的用户名。

-p

此参数可以缩小 Handle 的扫描范围，只扫描以此名称开头的进程，而不对系统中的所有句柄进行检查。

-name

指示Handle搜索对带有特定名称的对象的引用。例如，如果要知道哪个进程（如果有）已打开“c:\windows\system32”，可以键入： 
handle c:\windows\system32

此名称匹配不区分大小写，指定的片段可以是所需的路径中的任何位置。

这个个参数比较给力，比如我想知道有哪些进程打开了我的隐私文件，我就可以用这个参数进行检查。

 

在下载页面Usage下面有一个Output的说明，讲的是在搜索模式和非搜索模式时显示格式的问题，可以直接忽略，看着结果你就已经知道是什么格式了。

 

上次介绍的AccessChk工具是按功能来介绍的，这次的Handle工具是按照参数来介绍的，原因是AccessChk工具的参数较多，而Handle工具的参数较少。以后的介绍大多会分为功能和参数两种形式，也是希望大家看得更加明白吧～～