记一次无法关闭的弹窗
通过一个卸载掉弹窗的应用,重启后还会出现的例子来说明如何找到问题应用的过程,以及发现 wpbbin.exe 和 WPBT 机制的过程
通过一个卸载掉弹窗的应用,重启后还会出现的例子来说明如何找到问题应用的过程,以及发现 wpbbin.exe 和 WPBT 机制的过程
ETW是Windows操作系统提供的跟踪工具,可以记录应用程序和驱动程序产生的事件。它支持高速记录、故障排查和性能分析等功能。ETW的控制由控制器实现,提供事件的是提供商,而请求监听事件的是消费者。学习ETW可用于分析系统行为,包括故障排查和性能影响因素排查。
这篇文章介绍了在Windows系统上的Dump文件类型,分为内核模式和用户模式。内核模式包括完全内存转储、核心内存转储、小内存转储、自动内存转储和活动内存转储。而用户模式则有完整用户模式转储和小型转储。不同类型的Dump文件大小、包含的信息和用途各不相同,可以用于系统和应用程序的故障分析与诊断。
这段内容讲述了如何使用PowerShell对脚本文件进行数字签名,以确保脚本的完整性和安全性。首先,需要导入数字证书,并使用Set-AuthenticodeSignature命令对脚本进行签名。签名时最好加上时间戳以防止签名过期。另外,还介绍了如何验证文件是否已签名,可以通过get-authenticodeSignature命令或查看文件属性的数字签名来进行验证。签名后,文件内容不能被更改,否则签名状态会变为HashMismatch。
这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理,特别是拦截截屏操作。文章首先指出在传统Windows应用程序中,系统没有提供直接的权限管控,因此需要采取一些其他方式,如使用hook来进行权限管控。接着,文章演示了如何通过API Monitor来监听目标应用程序的行为,以确定其使用的截屏方式。然后,文章介绍了如何使用BitBlt接口进行hook操作,以实现拦截截屏。最后,文章提供了注入hook DLL到目标进程的方法,以实现权限管理。
这篇内容介绍了如何在Windows中编写第一个本地应用程序(Native App)
这篇文章介绍了如何使用Windows Performance Toolkit(WPT)来分析Windows系统的启动过程。WPT包括Windows Performance Recorder(WPR)和Windows Performance Analyzer(WPA)两个工具,用于记录和分析性能数据。通过WPR记录性能场景为开机,然后使用WPA打开记录的ETL文件进行分析。文章还提到了一些注意事项,例如如果遇到0x80070032错误,可以安装WPA Preview来解决。最后,文章介绍了如何在WPA中查看启动过程中的进程启动顺序和其他相关信息。
在64位的Windows系统中,有一个神秘的文件夹叫做"Sysnative",它在Explorer中无法访问,但在兼容32位应用的情况下扮演重要角色。在64位系统上,一些32位应用需要访问特殊文件夹,例如System32,但直接访问会被重定向到SysWOW64文件夹。为了解决这个问题,可以使用"SysNative"虚拟文件夹,允许32位应用访问64位文件。这个特殊文件夹对于兼容性很重要,因为它允许32位应用与64位应用交互。
这篇文章讨论了在 Windows 中预装应用程序并进行分发的两种方法。第一种方法是使用GHOST分发,需要先在物理机上配置并安装Windows,然后通过备份工具如Norton Ghost、Acronis True Image等来创建系统备份镜像。第二种方法是直接修改Windows镜像,可以使用工具如NTLite来加载ISO文件并添加预装软件,然后生成新的ISO文件进行分发。GHOST分发需要走完Windows的安装流程,而直接修改ISO则避免了这一步骤,但需要一些上手成本。
这篇文章介绍了如何从头开始使用Windbg调试Windows服务。首先,作者提到了设置注册表项,以使Windows在启动服务时自动启动Windbg来进行调试。其次,作者建议延长服务的超时时间,以便有足够的时间进行调试。最后,对于一些复杂的服务,例如svchost.exe中包含多个服务的情况,作者解释了如何将特定服务隔离到单独的svchost.exe进程中进行调试。这些步骤有助于开发人员更有效地调试Windows服务。