Windows Internals

Windows 中遍历进程

背景 Windows 中经常遇到需要遍历所有进程的诉求,Windows 中有多种方式可以遍历进程。 下面将对常规和不常规的方式做一个汇总。 效果 先看对比效果...
Windows 中遍历进程

Windows 应用性能关键字段解析

背景 在各种软件中(任务管理器、ProcessExplorer等)中经常能看到各种关于 CPU、内存和网络部分的各个字段。 这里就做一个统一的汇总和解释: CPU 部...
Windows 应用性能关键字段解析

Windows 应用暂停技术

背景 在特定场景下,一些进程运行单纯的浪费资源,但又不能杀掉进程,所以需要通过挂起的方式,暂停进程运行。以释放资源给关键进程运行。 方法对比 ...
Windows 应用暂停技术

如何通过 WRK 来调试/学习 Windows

背景 目前我们学习 Windows 内核细节,主要可以参考 ReactOS 和 WRK(Windows Research Kernel)。 前者是一个兼容 WinNT 内核的开源系统;后者 WRK ...
如何通过 WRK 来调试/学习 Windows

ETW:Windows 事件追踪 101

ETW 是什么 Event Tracing for Windows® (ETW) is a general-purpose, high-speed tracing facility provided by the operating system. Using a bufferi...
ETW:Windows 事件追踪 101

如何通过 hook 来拦截截屏

引入 Windows 传统 APP 中,系统都没有提供权限的管控。所以对于一些截屏、录屏和其他隐私功能,我们只能采取一些其他方式,例如 hook 来进行权限管控。 ...
如何通过 hook 来拦截截屏

如何从头开始写一个 Native App

引言 在 Windows 中,我们的进程通常都运行在一个叫 Windows 的子系统上。在 Windows 子系统上分为 console、GUI 等子系统。进程如果想要调用系统 API,通...
如何从头开始写一个 Native App