谁拥有 Windows 中的文件句柄？

Question

如何发现哪个进程拥有文件的打开句柄？ 具体来说，您如何以编程方式执行此操作？

Answer 1

可能有一个API，我不知道。 如果有的话，可能是内核中的一个API。

另一种可能性（很抱歉含糊其辞，但我现在回答这个问题，以防其他人发布更好的答案）是没有（记录的）API，并且执行此操作的程序通过使用未记录的知识来实现​​这一点句柄的内容和/或句柄（当被视为指针时）指向的内存的内容：例如，我发现 进程的内核对象句柄表，我认为（人们说他们有逆向工程未记录的内存结构）是我记得在 Softice 手册中读到的内容几年前。

查找更多信息的一个地方可能是文件系统筛选器驱动程序。

另一种（也许更好）方法可能是使用 depends 或 dumpbin /imports 来尝试查看相关 Sysinternals 程序正在使用哪些 API。

Answer 2

Sysinternals 的进程浏览器会告诉您这一点。