我使用 WinDBG 获取句柄信息:
kd> !handle 430
PROCESS 85c91030 SessionId: 0 Cid: 0388 Peb: 7ffdc000 ParentCid: 01e8
DirBase: 7ee841c0 ObjectTable: 8da023f0 HandleCount: 539.
Image: svchost.exe
Handle table at 9a3da000 with 539 entries in use
0430: Object: 8480e038 GrantedAccess: 00100080 Entry: 8da01860
Object: 8480e038 Type: (844f9ac8) File
ObjectHeader: 8480e020 (new version)
HandleCount: 1 PointerCount: 2
Directory Object: 00000000 Name: \ {HarddiskVolume2}
我知道大部分数据来自 _FILE_OBJECT,但我不知道 {HarddiskVolume2} 是如何确定的。 WinDBG 如何获得这些信息?
最佳答案
它是硬盘分区的设备对象名称
kd> !object \Device\HardDisk0\
Object: e13d5f58 Type: (812bd3c8) Directory
ObjectHeader: e13d5f40 (old version)
HandleCount: 1 PointerCount: 6
Directory Object: e10077a0 Name: Harddisk0
Hash Address Type Name
---- ------- ---- ----
21 8123e5e0 Device DR0
33 e13d3a50 SymbolicLink Partition0
34 e13d3030 SymbolicLink Partition1
36 8126b030 Device DP(1)0x7e00-0xfff2e4400+1
kd> !object \Device\HardDisk0\Partition1
Object: e13d3030 Type: (812bd1f8) SymbolicLink
ObjectHeader: e13d3018 (old version)
HandleCount: 0 PointerCount: 1
Directory Object: e13d5f58 Name: Partition1
Target String is '\Device\HarddiskVolume1'
您也可以使用 !driveinfo [dosdevicename] 进行反向查询
kd> !driveinfo c:
Drive c:, DriveObject e13d3770
Directory Object: e1004890 Name: C:
Target String is '\Device\HarddiskVolume1'
Drive Letter Index is 3 (C:)
Volume DevObj: 8126bd98
Vpb: 8123db20 DeviceObject: 8121b020
FileSystem: \FileSystem\Ntfs
获取所有驱动器映射的python脚本
from ctypes import *
ntdevs = create_string_buffer(15000)
b=windll.kernel32.GetLogicalDriveStringsA(sizeof(ntdevs),byref(ntdevs))
for i in range(0,b):
print ntdevs[i],
print "\n"
dosdevs = create_string_buffer(15000)
for j in range(0,b,4):
a=windll.Kernel32.QueryDosDeviceA(ntdevs[j]+ntdevs[j+1],byref(dosdevs),sizeof(dosdevs))
for i in range(0,a):
print dosdevs[i],
print "\n"
执行
python qdd.py
C : \ D : \ E : \ F : \ G : \
\ D e v i c e \ H a r d d i s k V o l u m e 2
\ D e v i c e \ H a r d d i s k V o l u m e 3
\ D e v i c e \ H a r d d i s k V o l u m e 4
\ D e v i c e \ C d R o m 0
\ D e v i c e \ H a r d d i s k V o l u m e 5
编辑
如果您使用的是 xp-sp3,此脚本可以帮助您了解 windbg 如何检索 {hardiskvolume1} 此脚本还假设某些事情,例如 kernel_handle_table 的级别 请注意,如果有很多句柄,您可能无法盲目索引 句柄 * 大小 + 表的开始
在以后的操作系统中,OBJECT_HEADER 结构不同没有 NameInfoOffset 字段
在 OBJECT_HEADER 结构中,但是 TypeIndex 您可能需要
修改此脚本以适应 os > xp
r $t0 = (@@c++((sizeof(nt!_HANDLE_TABLE_ENTRY) / sizeof(unsigned long))) * ${$arg1})
r $t1 = (@$t0 + poi(poi(nt!ObpKernelHandleTable)))
r $t2 = (@@c++(#FIELD_OFFSET(nt!_OBJECT_HEADER ,Body)))
r $t3 = (@@c++(#FIELD_OFFSET(nt!_FILE_OBJECT ,DeviceObject)))
r $t4 = (@@c++(#FIELD_OFFSET(nt!_OBJECT_HEADER ,NameInfoOffset)))
r $t5 = ((poi(@$t1) & 0xfffffff8 ) + @$t2)
r $t6 = (poi(@$t5 + @$t3) - @$t2 - @$t4)
.printf "%mu {%msu}" , @@c++(((nt!_FILE_OBJECT *) @@masm( @$t5 ))->FileName.Buffer ) , @$t6
这样执行
kd> $$>a< "xxx\getfilename.txt" 294
\Documents and Settings\NetworkService\NTUSER.DAT {HarddiskVolume1}
用 !handle 294 确认
PROCESS 80559c20 SessionId: none Cid: 0000 Peb: 00000000 ParentCid: 0000
DirBase: 00039000 ObjectTable: e1000b78 HandleCount: 230.
Image: Idle
Kernel handle table at e1002000 with 230 entries in use
0294: Object: 810c20e0 GrantedAccess: 00000003 (Protected) Entry: e1002528
Object: 810c20e0 Type: (8127b900) File
ObjectHeader: 810c20c8 (old version)
HandleCount: 1 PointerCount: 4
Directory Object: 00000000 Name: \Documents and Settings\NetworkService\NTUSER.DAT {HarddiskVolume1}
关于windows - 卷的句柄信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35000605/
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
深度学习部署:Windows安装pycocotools报错解决方法1.pycocotools库的简介2.pycocotools安装的坑3.解决办法更多Ai资讯:公主号AiCharm本系列是作者在跑一些深度学习实例时,遇到的各种各样的问题及解决办法,希望能够帮助到大家。ERROR:Commanderroredoutwithexitstatus1:'D:\Anaconda3\python.exe'-u-c'importsys,setuptools,tokenize;sys.argv[0]='"'"'C:\\Users\\46653\\AppData\\Local\\Temp\\pip-instal
我遇到了这个奇怪的错误.../Users/gideon/Documents/ca_ruby/rubytactoe/lib/player.rb:13:in`gets':Isadirectory-spec(Errno::EISDIR)player_spec.rb:require_relative'../spec_helper'#theuniverseisvastandinfinite...itcontainsagame....butnoplayersdescribe"tictactoegame"docontext"theplayerclass"doit"musthaveahumanplay
我在目录“C:\DocumentsandSettings\test.exe”中有一个文件,但是当我用单引号编写命令时`C:\DocumentsandSettings\test.exe(我无法在此框中显示),用于在Ruby中执行命令,我无法这样做,我收到的错误是找不到文件或目录。我尝试用“//”和“\”替换“\”,但似乎没有任何效果。我也使用过系统、IO.popen和exec命令,但所有的努力都是徒劳的。exec命令还使程序退出,这是我不想发生的。提前致谢。 最佳答案 反引号环境就像双引号,所以反斜杠用于转义。此外,Ruby会将空格解
我有两个文本文件,master.txt和926.txt。如果926.txt中有一行不在master.txt中,我想写入一个新文件notinbook.txt。我写了我能想到的最好的东西,但考虑到我是一个糟糕的/新手程序员,它失败了。这是我的东西g=File.new("notinbook.txt","w")File.open("926.txt","r")do|f|while(line=f.gets)x=line.chompifFile.open("master.txt","w")do|h|endwhile(line=h.gets)ifline.chomp!=xputslineendende