Categoría: Utilerías de Procesos
Versión: v4.22
Última actualización: 19/06/2019
Resumen: Handle
OS:
Cliente:
Windows
Servidor:
¿Alguna vez te has preguntado qué programa tiene abierto un archivo o directorio en particular? Ahora puedes averiguarlo. Handle es una utilidad que muestra información sobre identificadores abiertos para cualquier proceso del sistema. Puedes usarlo para ver los programas que tienen un archivo abierto o para ver los tipos de objetos y los nombres de todos los identificadores de un programa. También puedes obtener una versión basada en GUI de este programa, Process Explorer, aquí en Sysinternals.
No requiere, se ejecuta directamente desde línea de comandos. Debes tener privilegios de administrador para ejecutar Handle.
El identificador tiene como objetivo la búsqueda de referencias de archivos abiertos, por lo que si no especificas ningún parámetro de línea de comandos, enumerará los valores de todos los identificadores del sistema que se refieren a archivos abiertos y los nombres de los archivos. También se necesitan varios parámetros que modifican este comportamiento.
Handle te permite ver que procesos utilizan un archivo
Uso: handle [[-a] [-u] | [-c <handle> [-l] [-y]] | [-s]] [-p <NombreDelProceso>|<pid>> [nombre]
| Parámetro | Descripción |
|---|---|
| -a | Volcar información sobre todos los tipos de identificadores, no solo los que hacen referencia a archivos. Otros tipos incluyen puertos, claves de registro, primitivas de sincronización, subprocesos y procesos. |
| -c | Cierra el identificador especificado (interpretado como un número hexadecimal). Debes especificar el proceso por su PID. ADVERTENCIA: Cerrar los procesos puede causar inestabilidad en la aplicación o el sistema. |
| -l | Volcar los tamaños de las secciones respaldadas por archivos de paginación. |
| -y | No solicite la confirmación de cierre de handle. |
| -s | Imprime el recuento de cada tipo de administrador abierto. |
| -u | Muestra el nombre de usuario propietario al buscar identificadores. |
| -p | En lugar de examinar todos los identificadores del sistema, este parámetro reduce el escaneo de identificadores a aquellos procesos que comienzan con el proceso de nombre. Por lo tanto: manejar -p exp volcaría los archivos abiertos para todos los procesos que comienzan con “exp”, que incluiría Explorer. |
| nombre | Este parámetro está presente para que puedas indicar a Handle que busque referencias a un objeto con un nombre en particular. Por ejemplo, si deseas saber qué proceso (si hay alguno) tiene “c:\windows\system32” abierto, puedes escribir: handler windows\system La coincidencia de nombre no distingue entre mayúsculas y minúsculas y el fragmento especificado puede estar en cualquier lugar de las rutas que te interesan. |
Uso
Cuando no está en modo de búsqueda (habilitado al especificar un fragmento de nombre como parámetro), Handle divide su salida en secciones para cada proceso para el que está imprimiendo información de handle. Las líneas discontinuas se utilizan como separador, inmediatamente debajo del cual verás el nombre del proceso y su ID de proceso (PID). Debajo del nombre del proceso se enumeran los valores del identificador (en hexadecimal), el tipo de objeto con el que está asociado el identificador y el nombre del objeto, si tiene uno. Cuando está en modo de búsqueda, Handle imprime los nombres de los procesos y los identificadores se enumeran en el lado izquierdo y los nombres de los objetos que tenían una coincidencia están a la derecha.
Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx
Puedes encontrar más información sobre el Administrador de objetos en Windows Internals, 4ª edición o navegando por el espacio de nombres del Administrador de objetos con WinObj.
Handle: Imágenes cortesía by Nala Systems
Handle by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft ©2021, Ethical Hack, Todos los derechos reservados sobre la traducción. ©2021, Ethical Hack, Todos los derechos reservados sobre el contenido propio.
El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…
En esta entrada te presento 24 de las listas negras más comunes que los servidores…
ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…
WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…
Whois realiza el registro de registro para el nombre de dominio o la dirección IP…
VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…