frendguo-CSDN博客

原创 Windows 应用暂停技术汇总

介绍了四种暂停或冻结 Windows 应用的方法：NtSuspendProcess、SuspendThread、NtDebugActiveProcess 和 JobObjectFreezeInformation。NtSuspendProcess 和 NtDebugActiveProcess 效率高，但无法暂停内核代码；SuspendThread 效率较低，可能漏掉新线程；JobObjectFreezeInformation 适用于 UWP 应用，但如果句柄丢失，恢复性差。每种方法复杂度和系统兼容性不同。

2024-05-29 12:27:27 1087

原创 Windows 应用性能关键字段解析

解释了 Windows 应用程序的各种性能指标，包括 CPU 内核使用率和用户使用率、内存使用量（私有字节、虚拟大小、页面错误、工作集）、I/O 操作（读取、写入、其他 I/O）以及 GPU 使用率（专用、共享、已提交内存）等

2024-05-29 12:08:55 594

原创记一次无法关闭的弹窗

通过一个卸载掉弹窗的应用，重启后还会出现的例子来说明如何找到问题应用的过程，以及发现 wpbbin.exe 和 WPBT 机制的过程。

2024-04-26 10:40:13 1151

原创 32 位应用如何访问 64 位的 System32

在64位的Windows系统中，有个非常神秘的文件夹“Sysnative”，你无法通过 Explorer 去访问它，甚至你都无法找到它，但它却扮演了一个非常重要的角色。下面我们就来聊聊它。

2024-03-25 17:32:21 533

原创如何通过 WPT 来分析 Windows 启动过程

所谓 WPT 也就是 Windows Performance Toolkit，包含 Windows Performance Recorder (WPR) 和 Windows Performance Analyzer (WPA) 两个。其中 WPR 主要用于场景的录制；WPA 主要用于录制后的 ETL 的分析。当然支撑 WPT 运行的就是 ETW（Event trace for windows）的机制，通过录制过程中的日志，再通过 WPA 将日志文件打开。而 ETW 在 Windows 的各处都存在。

2024-03-12 17:50:38 991

原创如何从头开始写一个 Windows Native App(非子系统)

这篇内容介绍了如何在 Windows 中编写第一个本地应用程序（Native App）

2024-03-08 14:42:59 884

原创 Windows 如何通过 hook 来拦截截屏

这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理，特别是拦截截屏操作。文章首先指出在传统Windows应用程序中，系统没有提供直接的权限管控，因此需要采取一些其他方式，如使用hook来进行权限管控。接着，文章演示了如何通过API Monitor来监听目标应用程序的行为，以确定其使用的截屏方式。然后，文章介绍了如何使用BitBlt接口进行hook操作，以实现拦截截屏。最后，文章提供了注入hook DLL到目标进程的方法，以实现权限管理。

2024-03-07 10:41:21 1728

原创 Windows Dump 分类

这篇文章介绍了在Windows系统上的Dump文件类型，分为内核模式和用户模式。内核模式包括完全内存转储、核心内存转储、小内存转储、自动内存转储和活动内存转储。而用户模式则有完整用户模式转储和小型转储。不同类型的Dump文件大小、包含的信息和用途各不相同，可以用于系统和应用程序的故障分析与诊断。

2024-03-07 10:15:03 999

原创 PowerShell 脚本如何签名

这段内容讲述了如何使用PowerShell对脚本文件进行数字签名，以确保脚本的完整性和安全性。首先，需要导入数字证书，并使用Set-AuthenticodeSignature命令对脚本进行签名。签名时最好加上时间戳以防止签名过期。另外，还介绍了如何验证文件是否已签名，可以通过get-authenticodeSignature命令或查看文件属性的数字签名来进行验证。签名后，文件内容不能被更改，否则签名状态会变为HashMismatch。

2024-03-07 10:08:45 567

原创 Windows 事件追踪101

Windows® 事件追踪（ETW）是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制，能够跟踪用户级应用和内核级设备驱动程序产生的事件。ETW 具有以下特征：开发人员可以根据预期用途选择合适的实现集（例如，很容易添加像 WPP 实现这样的 Printf，以用于调试目的的事件）。基础结构管理常用信息，如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。

2024-03-07 10:04:54 1314