시스템 자원에 접근을 하기 위해서는 항상 간접적으로 접근을 해야한다.

윈도우에서는 이러한 시스템 자원에 간접적 접근을 하기 위한 핸들(Handle) 이라는 것을 사용한다.

또한 핸들은 다음과 같은 특징을 지니고 있다.

핸들은 파일, 디렉터리, 포트, 레지스트리 키, 스레드, 세마포어(Semaphores) 등을 포함하고 있으며, 핸들을 살펴봄으로써 프로세스의 특성이나 해당 프로세스가 다른 시스템 요소(파일, 레지스트리, 네트워크 정보 등)에 주는 영향에 대해서도 알 수 있기 때문에 아주 중요한 요소라고 할 수 있다.

Handle.exe는 핸들 정보를 수집할 때 가장 많이 쓰이는 도구이다. -a 옵션으로 모든 핸들을 표시할 수 있고, -u 옵션으로 소유자의 이름을 나타낼 수 있다. 

더 많은 옵션은 help를 이용하자. 또한, 하나의 프로세스에는 대부분 다수의 핸들을 가지고 있고 핸들 또한 여러 종류가 존재하기 때문에 모든 핸들을 뽑아낸다면 상당히 많은 양이 나올 것이다. 만약 분석자가 리눅스 명령어를 사용할 수 있다면, grep을 이용하여 필요한 정보만 찾아내는 것도 좋은 방법이다.

[Figure 1 - Handle.exe]