不想看分析过程的，可以直接跳转到最后的汇总。 背景 通常我们要增加一个自启动，会在 SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中添加一个项。...

背景 Windows 中经常遇到需要遍历所有进程的诉求，Windows 中有多种方式可以遍历进程。 下面将对常规和不常规的方式做一个汇总。 效果 先看对比效果...

背景 在各种软件中（任务管理器、ProcessExplorer等）中经常能看到各种关于 CPU、内存和网络部分的各个字段。 这里就做一个统一的汇总和解释： CPU 部...

背景 在特定场景下，一些进程运行单纯的浪费资源，但又不能杀掉进程，所以需要通过挂起的方式，暂停进程运行。以释放资源给关键进程运行。 方法对比 ...

背景 目前我们学习 Windows 内核细节，主要可以参考 ReactOS 和 WRK（Windows Research Kernel）。 前者是一个兼容 WinNT 内核的开源系统；后者 WRK ...

背景 最近突然想起来梳理了一遍机器上安装的应用，于是把一个叫【Gigabyte Control Center】的应用给卸载了。卸载了之后也就没管了，反正也用不着。 就...

ETW 是什么 Event Tracing for Windows® (ETW) is a general-purpose, high-speed tracing facility provided by the operating system. Using a bufferi...

引入 Windows 上 Dump 文件主要分为内核模式 Dump 文件和 用户模式 Dump 文件。 内核模式 Dump 文件有： Complete Memory Dump（完全内存转储） K...

TD;DR $pfxPath = "C:\Users\frend\Desktop\xxxx_codesign_2022.pfx" $pfxPassword = ConvertTo-SecureString -String "xxx" -AsPlainText -Force $cert =...

引入 Windows 传统 APP 中，系统都没有提供权限的管控。所以对于一些截屏、录屏和其他隐私功能，我们只能采取一些其他方式，例如 hook 来进行权限管控。 ...