Frendguo的博客

介绍了四种暂停或冻结 Windows 应用的方法：NtSuspendProcess、SuspendThread、NtDebugActiveProcess 和 JobObjectFreezeInformation。NtSuspendProcess 和 NtDebugActiveProcess 效率高，但无法暂停内核代码；SuspendThread 效率较低，可能漏掉新线程；JobObjectFreezeInformation 适用于 UWP 应用，但如果句柄丢失，恢复性差。每种方法复杂度和系统兼容性不同。

这篇内容介绍了如何在 Windows 中编写第一个本地应用程序（Native App）

这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理，特别是拦截截屏操作。文章首先指出在传统Windows应用程序中，系统没有提供直接的权限管控，因此需要采取一些其他方式，如使用hook来进行权限管控。接着，文章演示了如何通过API Monitor来监听目标应用程序的行为，以确定其使用的截屏方式。然后，文章介绍了如何使用BitBlt接口进行hook操作，以实现拦截截屏。最后，文章提供了注入hook DLL到目标进程的方法，以实现权限管理。

Windows® 事件追踪（ETW）是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制，能够跟踪用户级应用和内核级设备驱动程序产生的事件。ETW 具有以下特征：开发人员可以根据预期用途选择合适的实现集（例如，很容易添加像 WPP 实现这样的 Printf，以用于调试目的的事件）。基础结构管理常用信息，如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。

本文将从通过异步读取文件的 API ReadFileEx 来引入 APC 的概念。然后描述了一些 APC 中常见的结构，然后再刨析了 APC 的执行时机，最后再描述了该如何插入一个 APC.