个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化《Windows Sysinternals实战指南》2.4 句柄 Handle 是什么从进程到内核对象的访问凭证1. 前言为什么要理解句柄2. 句柄到底是什么3. 句柄与内核对象号码牌和真实资源的区别4. 每个进程都有自己的句柄表4.1 同一个句柄值在不同进程里可能指向不同对象4.2 句柄泄漏会导致资源长期不释放4.3 关闭最后一个句柄后对象才可能被释放5. 用 Process Explorer 查看句柄5.1 启用 Handles 列5.2 查看某个进程打开的句柄5.3 用 Find Handle 快速搜索占用6. 用 Handle.exe 查找“谁占用了文件”6.1 查询某个文件被谁占用6.2 按进程查看句柄6.3 查到占用者后怎么处理7. 句柄泄漏越跑越卡的隐藏原因7.1 如何判断是否存在句柄泄漏7.2 句柄泄漏排查流程7.3 桌面支持场景下怎么记录8. 常见实战场景很多怪问题都能翻译成句柄问题8.1 文件删除失败8.2 软件卸载失败8.3 程序只能打开一个实例8.4 服务长期运行后异常9. 我的理解句柄是 Windows 排障中的“可见抓手”10. 本节总结11. 本文关键知识点速记1. 前言为什么要理解句柄在前面的内容里我们已经陆续接触了几个 Windows 内部概念进程、线程、用户模式、内核模式。进程像一个资源容器线程是真正被 CPU 调度执行的单位用户模式和内核模式则决定代码运行在哪一层。这一节继续往下看一个非常关键、也非常贴近排障现场的概念句柄 Handle。句柄这个词听起来有点底层但它并不遥远。很多 Windows 桌面运维问题表面上看是文件删不掉、软件卸载失败、服务越跑越卡、日志写不进去往深处拆往往都能落到一句话是不是还有某个进程持有相关对象的句柄没有释放比如用户反馈文件删不掉系统提示“正在被另一个程序使用”某个软件卸载失败提示 DLL 或日志文件被占用某个服务运行时间越久越慢Process Explorer 里句柄数持续上涨某个程序窗口已经关闭但后台资源仍然没有释放。这些问题如果只靠经验猜很容易反复尝试、反复失败。但如果从句柄角度看问题就会变得具体得多哪个进程持有了句柄句柄类型是什么它指向的是文件、注册表、事件、互斥量还是进程对象访问权限是什么句柄是否持续增长这些问题一旦能回答排障就不再是盲猜。如果说内核对象是真实存在的系统资源那么句柄就是进程访问这些资源时拿到的“操作凭证”。这张图可以先建立一个整体印象进程并不是直接拿着系统资源操作而是通过句柄间接访问内核对象。理解了这一点再看 Process Explorer 的 Handles 视图、Handle.exe 的输出就不会觉得那些字段陌生了。2. 句柄到底是什么先给一个最直白的定义句柄不是文件本身也不是内核对象本身而是进程访问内核对象时拿到的一张“号码牌”。Windows 内部有很多资源都属于内核对象。普通应用程序不能绕过系统直接去操作这些对象。它必须通过 Windows API 和系统调用向内核提出请求内核检查权限后才会返回一个句柄。之后这个进程就可以拿着这个句柄继续读写文件、等待事件、操作进程、访问注册表键等。常见的内核对象可以简单整理成下面这样对象类型常见场景文件对象打开文件、写日志、读配置、删除文件注册表键读取软件配置、写入系统设置、查询策略进程对象查询进程状态、结束进程、等待进程退出线程对象控制线程、等待线程结束、查询线程状态事件对象线程同步、服务通知、状态触发互斥量 Mutex防止程序重复运行、进程间同步管道 / 命名管道进程间通信、客户端和服务端交互作业 Job管理一组进程、限制资源、统一控制进程组可以用一个很简单的过程来理解进程我要打开 C:\test.log 内核先检查你的权限。 内核权限允许这是你的访问凭证 Handle 0x1A0。 进程以后我就拿 0x1A0 继续读写这个文件。这里的 0x1A0 就是句柄值。它对进程来说像一个编号对内核来说则可以映射到真正的对象和访问权限。所以句柄的本质是某个进程访问某个内核对象的凭证。这也是为什么很多“文件占用”问题不能只看文件路径。文件路径只是资源的位置真正决定它能不能删除、能不能覆盖、能不能释放的是当前还有没有进程持有相关文件对象的句柄。3. 句柄与内核对象号码牌和真实资源的区别很多初学者容易把句柄、文件、路径、内核对象、对象指针混在一起。这里要先拆清楚否则后面看工具输出时会很乱。我们可以用“排队取号”的方式理解概念类比说明内核对象柜台后真正的业务资源文件对象、进程对象、事件对象、注册表键等句柄用户手里的号码牌进程用它告诉系统自己要操作哪个对象句柄表取号系统每个进程都有自己的句柄表访问权限号码牌上的权限只读、读写、同步、完全控制等一个内核对象可以被多个进程同时持有句柄。比如一个日志文件可能被服务进程打开也可能被日志查看工具打开还可能被安全软件扫描模块短时间打开。只要其中任何一个进程仍然持有相关句柄就可能影响删除、覆盖或重命名。注意句柄值不是全局唯一编号它只在当前进程上下文中有意义。也就是说A 进程里的 0x84 和 B 进程里的 0x84完全可能指向两个不同对象。不能因为句柄值一样就认为它们操作的是同一个资源。这张图适合帮助理解一句话句柄是访问入口内核对象才是真正被访问的系统资源。4. 每个进程都有自己的句柄表Windows 会为每个进程维护一张句柄表。这个表记录了当前进程已经打开的对象以及每个句柄对应的对象类型、访问权限和引用关系。句柄表里通常包含这些信息信息说明句柄值进程内部使用的编号对象类型File、Key、Event、Mutant、Process、Thread 等对象引用指向真正的内核对象访问权限读、写、同步、查询、完全控制等引用状态当前对象是否仍被引用这个机制带来几个非常重要的排障结论。4.1 同一个句柄值在不同进程里可能指向不同对象例如A 进程中的 0x84 → C:\A.log B 进程中的 0x84 → 一个 Event 对象所以排查时不能只说“0x84 这个句柄有问题”必须说清楚哪个进程中的 0x84 它是什么类型 它指向哪个对象句柄分析必须绑定进程上下文否则很容易误判。4.2 句柄泄漏会导致资源长期不释放程序打开资源后应该在不需要时关闭句柄。开发中常见的逻辑类似这样CreateFile / RegOpenKey / CreateEvent ↓ 使用资源 ↓ CloseHandle / RegCloseKey如果程序只打开、不关闭就会出现句柄泄漏。短时间内可能看不出明显问题但运行时间一长句柄数就会持续上涨最终造成程序变慢、资源耗尽、文件占用、服务异常甚至 API 调用失败。句柄泄漏不是抽象概念它经常表现为“程序越跑越卡”“服务运行几天后异常”“文件一直释放不了”。4.3 关闭最后一个句柄后对象才可能被释放一个内核对象可能被多个进程引用。只有当所有相关句柄都关闭后内核对象的引用计数归零系统才可能回收它。这就是为什么有些文件明明窗口已经关了却仍然删不掉。表面窗口不在不代表后台进程、托盘程序、服务或同步组件已经释放了文件句柄。判断资源有没有真正释放不能只看界面关没关要看持有句柄的进程还在不在。5. 用 Process Explorer 查看句柄Sysinternals 中最适合图形化观察句柄的工具就是Process Explorer。它不仅能看到进程树、CPU、内存、路径和签名还能看到进程当前持有的句柄。对于文件占用、资源泄漏、服务异常、程序卸载失败这类问题Process Explorer 的 Handles 视图非常实用。5.1 启用 Handles 列在 Process Explorer 中可以这样操作View → Select Columns → Process Performance → Handles启用后主界面会显示每个进程的句柄数量。如果某个进程的 Handles 数值特别高或者持续增长就需要重点关注。尤其是服务类进程、长期运行的客户端、安全软件组件、同步工具、数据库客户端、业务系统常驻进程都值得观察趋势。排查句柄泄漏时不要只看某一刻的数量要看它是否持续增长。5.2 查看某个进程打开的句柄选中目标进程后可以按Ctrl H也可以通过菜单切换View → Lower Pane View → Handles此时下方面板会列出该进程当前持有的句柄。常见字段包括字段含义Type句柄类型例如 File、Key、Event、MutantName对象名称例如文件路径、注册表路径、事件名Handle句柄值Access访问权限这里最常看的其实是 Type 和 Name。Type 告诉你这个句柄是什么类型Name 告诉你它指向哪个对象。如果 Type 是 File并且 Name 指向用户要删除的文件那基本就能定位占用链路了。5.3 用 Find Handle 快速搜索占用Process Explorer 还可以直接搜索句柄或 DLL。常用入口是Find → Find Handle or DLL例如你要查 test.log 被谁占用就可以输入文件名的一部分。Process Explorer 会列出匹配进程和对象。这比在所有进程里一个个展开 Handles 视图效率高很多。桌面支持现场遇到“文件删不掉”Process Explorer 的 Find Handle 是非常快的一条路径。6. 用 Handle.exe 查找“谁占用了文件”如果说 Process Explorer 适合图形化查看Sysinternals 里的Handle.exe就更适合命令行排查和脚本化处理。它最经典的场景就是某个文件删不掉提示被占用到底是谁占着不放6.1 查询某个文件被谁占用示例命令handle.exe C:\SomeFolder\SomeFile.log可能看到类似输出notepad.exe pid: 1234 1A0: File (R--) C:\SomeFolder\SomeFile.log这段输出至少告诉我们四件事信息说明notepad.exe占用文件的进程pid: 1234进程 IDFile句柄类型C:\SomeFolder\SomeFile.log被占用的对象路径看到这个结果后就不需要再凭感觉猜是谁占用了文件。6.2 按进程查看句柄也可以反过来查某个进程打开了哪些对象handle.exe-p notepad.exe这会列出 notepad.exe 当前持有的句柄清单。排查某个程序是否持续占用文件、注册表键、事件对象时这个命令很方便。6.3 查到占用者后怎么处理查到占用者不代表马上强杀进程。这里要按风险从低到高处理处理动作风险正常关闭对应程序低保存文件后退出程序低停止相关服务中结束对应进程中高重启系统释放占用中强制关闭句柄高不建议常规使用不建议一上来就强杀进程尤其是数据库、业务软件、同步工具、杀毒软件、EDR、加密软件等进程可能造成数据损坏或安全组件异常。现场处理时比较稳妥的顺序是先通知用户保存数据再正常关闭程序如果是服务占用先确认服务用途再按规范停止服务最后才考虑结束进程或重启。7. 句柄泄漏越跑越卡的隐藏原因句柄泄漏指的是程序不断打开文件、注册表键、事件、互斥量、线程或其他内核对象却没有正确关闭对应句柄。短时间看用户可能只是觉得程序有点慢时间一长问题就会越来越明显。常见表现包括表现可能含义进程 Handles 数持续上涨可能存在句柄泄漏程序响应越来越慢资源管理或同步对象异常文件迟迟不释放File 句柄未关闭注册表访问异常Key 句柄持续积累服务运行一段时间后异常退出资源耗尽或内部逻辑异常API 调用失败对象数量或系统资源达到边界7.1 如何判断是否存在句柄泄漏可以用 Process Explorer 做初步观察1. 打开 Process Explorer 2. 启用 Handles 列 3. 找到怀疑的进程 4. 记录当前句柄数 5. 观察一段时间后的变化 6. 查看 Lower Pane 中增长的句柄类型如果某个服务刚启动时 Handles 是 500运行一天后变成 50000并且仍然持续上涨就需要怀疑句柄泄漏。但这里要注意不是句柄多就一定异常。有些服务本身就会持有较多句柄。真正要看的是数量是否持续增长增长是否和故障时间线一致增长的句柄类型是否集中。7.2 句柄泄漏排查流程否是发现程序越跑越卡打开 Process Explorer启用 Handles 列记录目标进程句柄数量句柄数是否持续增长继续排查 CPU / 内存 / I/O / 网络查看 Lower Pane 句柄类型判断 File / Key / Event / Mutant 哪类增长结合程序日志和故障时间线定位未释放资源或异常模块修复程序逻辑或升级软件版本复测句柄数是否稳定句柄泄漏排查的关键不是“看到句柄多”而是建立趋势证据。7.3 桌面支持场景下怎么记录如果要写工单或复盘可以这样记录问题现象 用户反馈某业务客户端运行一段时间后明显变慢。 检测动作 使用 Process Explorer 启用 Handles 列观察目标进程句柄数。 09:00 句柄数约 800 14:00 句柄数增长至 18000 17:00 句柄数增长至 36000。 初步判断 句柄数持续增长与用户反馈变慢时间线一致疑似存在句柄泄漏。 处理动作 重启目标客户端后句柄数恢复至约 900。 已反馈软件负责人进一步检查资源释放逻辑。这种记录比“软件卡顿重启后正常”更有价值因为它把现象变成了可复盘证据。8. 常见实战场景很多怪问题都能翻译成句柄问题理解句柄以后会发现很多 Windows 问题都能变得更具体。8.1 文件删除失败典型现象是操作无法完成因为文件已在另一个程序中打开。这句话背后的真实含义通常是某个进程仍持有该文件的 File 句柄。排查方法很直接handle.exeC:\Path\SomeFile.log或者用 Process ExplorerFind → Find Handle or DLL → 输入文件名找到占用者后再决定是关闭程序、停止服务、结束进程还是安排重启释放占用。8.2 软件卸载失败有些软件卸载时会提示 DLL、日志文件、配置文件正在使用。背后常见原因包括主程序没有完全退出、后台服务仍在运行、托盘程序还在、浏览器插件加载了相关 DLL、安全软件或同步软件正在扫描文件。稳妥处理路径是确认用户已保存数据 ↓ 用 Process Explorer 查相关进程 ↓ 用 Handle.exe 查具体文件占用 ↓ 正常退出程序或停止服务 ↓ 重新执行卸载卸载失败不要上来就删除安装目录。先查占用再处理占用链路。8.3 程序只能打开一个实例很多软件会通过 Mutex 实现单实例运行。它的逻辑大概是程序启动时创建一个互斥量如果发现同名互斥量已经存在就认为程序已经运行于是拒绝打开第二个实例。如果程序异常退出后相关对象状态异常或者后台残留进程仍在用户就可能遇到“明明没看到窗口却提示程序已经运行”的问题。这类问题表面上是程序打不开本质上可能是进程残留或同步对象没有释放。8.4 服务长期运行后异常如果服务没有正确释放对象句柄数持续增长就可能导致服务越来越慢、文件打开失败、事件创建失败、同步对象异常、资源占用越来越高。企业桌面支持里如果遇到“某服务重启后就好过几天又卡”的问题不要只写“重启服务恢复”。更应该观察服务运行时间 句柄数量变化 增长的句柄类型 故障出现时间 是否与版本升级或配置变更相关遇到“越跑越慢”的程序不要只看内存也要看句柄数。9. 我的理解句柄是 Windows 排障中的“可见抓手”句柄这个概念看起来偏底层但它其实非常适合用来训练排障思维。因为用户不会说“某个进程持有了文件对象句柄”。用户只会说这个文件删不掉。 软件卸载不了。 程序关了还占着文件。 电脑越用越卡。 日志文件一直写不进去。如果只按表面现象处理就容易陷入反复关闭窗口、反复重启、反复清理缓存的循环。但从句柄角度看可以把这些模糊描述拆成更具体的问题哪个进程 持有什么类型的句柄 指向哪个对象 访问权限是什么 句柄有没有释放 数量是否持续增长这就是 Sysinternals 工具最有价值的地方。它把用户口中的“卡、慢、删不掉、卸不了”翻译成进程、句柄、对象、权限、路径、时间线这些可以验证的证据。句柄是进程和内核对象之间的连接点也是很多 Windows 排障问题中的可见抓手。10. 本节总结这一节围绕 Handle 句柄把进程和内核对象之间的关系做了一次拆解。如果只记概念句柄很容易变成一个抽象名词但如果放到实际排障里它就非常有用。文件占用、软件卸载失败、进程残留、服务越跑越慢、句柄泄漏本质上都可以通过“进程—句柄—内核对象”这条链路继续分析。这一节可以用三句话收住句柄不是对象本身而是进程访问内核对象的“号码牌”。Process Explorer 和 Handle.exe 可以帮助我们看清谁持有什么句柄。文件占用、资源冲突、句柄泄漏都可以通过“进程—句柄—内核对象”这条链路建立证据。可以用下面这张流程图总结本节排障思路用户反馈异常异常类型是什么文件删不掉软件卸载失败服务越跑越慢程序提示已运行查 File 句柄观察 Handles 数量趋势检查进程残留 / Mutex 等同步对象Process Explorer / Handle.exe定位进程确认对象类型和路径选择关闭程序 / 停止服务 / 重启 / 升级软件验证问题是否恢复以后再遇到文件删不掉、程序卸载失败、服务越跑越卡这类问题时不要只凭经验猜。可以先问自己一句有没有哪个进程还拿着相关对象的句柄没有放理解了句柄再看 Process Explorer 的 Handles 视图、Handle.exe 的输出就不再是一堆陌生字段而是 Windows 系统内部资源状态的一张清晰快照。11. 本文关键知识点速记知识点说明句柄 Handle进程访问内核对象时拿到的访问凭证内核对象文件、注册表键、进程、线程、事件、互斥量等系统资源句柄表每个进程维护自己的句柄表句柄值只在当前进程上下文中有意义不是全局唯一文件占用通常是某个进程仍持有 File 句柄句柄泄漏进程持续打开对象但没有正确释放Process Explorer适合图形化查看进程句柄和搜索占用Handle.exe适合命令行查询文件占用和进程句柄排障关键看进程、对象类型、对象路径、访问权限、数量趋势最值得记住的一句话句柄让进程能够访问内核对象也让我们在排障时能够追踪“到底是谁还占着资源”。真正专业的桌面支持不是遇到占用就重启而是先定位占用者再选择风险最小的释放方式。返回顶部