windbg检测句柄泄露（定位到具体代码）

1.构造一个测试用例

#include "stdafx.h"
#include 

void NormalFunc()
{
	HANDLE hEvent;
	hEvent = CreateEvent(NULL,TRUE,TRUE,NULL);
	CloseHandle(hEvent);
}

void HandleLeakFunc()
{
	HANDLE hEvent;
	hEvent = CreateEvent(NULL,TRUE,TRUE,NULL);
	//CloseHandle(hEvent);		//有句柄泄露
}

int main()
{
	while(1)
	{
		NormalFunc();
		HandleLeakFunc();
		Sleep(200);
	}

	return 0;
}

2.windbg调试

（1）运行windbg，首先确定符号表地址填写OK了。

（2）我们选择"Open Executable"再选择上述测试用例生成的exe，可能在实际工程中经常是"Attach to a process"。再看任务管理器会发现这个进程的句柄数飙升：

（3）windbg用ctrl+break命令中断进程运行，用!htrace -enable命令开启句柄检测；htrace命令提供了进行句柄检测相关的命令，可查看windbg帮助，如图：

（4）再使用!htrace -snapshot命令，获得此时进程句柄的镜像。让程序继续运行。

（5）中断进程运行，使用!htrace -diff命令获得当前句柄状态与第4步 snapshot镜像句柄的差异；

（6）输出很多打开的句柄，需要具体情况具体分析，最好对照代码来看。这里是测试，所以比较简单，一眼就看出来了。

（7）使用lsa 传递指定位置对应的代码，lsa Lab2010_2!HandleLeakFunc+0x00000012

总结一下，就是3个命令：

!htrace -enable

!htrace -snapshot

//do something

!htrace -diff