Frendguo的博客

通过一个卸载掉弹窗的应用，重启后还会出现的例子来说明如何找到问题应用的过程，以及发现 wpbbin.exe 和 WPBT 机制的过程。

这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理，特别是拦截截屏操作。文章首先指出在传统Windows应用程序中，系统没有提供直接的权限管控，因此需要采取一些其他方式，如使用hook来进行权限管控。接着，文章演示了如何通过API Monitor来监听目标应用程序的行为，以确定其使用的截屏方式。然后，文章介绍了如何使用BitBlt接口进行hook操作，以实现拦截截屏。最后，文章提供了注入hook DLL到目标进程的方法，以实现权限管理。

这篇文章介绍了在Windows系统上的Dump文件类型，分为内核模式和用户模式。内核模式包括完全内存转储、核心内存转储、小内存转储、自动内存转储和活动内存转储。而用户模式则有完整用户模式转储和小型转储。不同类型的Dump文件大小、包含的信息和用途各不相同，可以用于系统和应用程序的故障分析与诊断。

Windows® 事件追踪（ETW）是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制，能够跟踪用户级应用和内核级设备驱动程序产生的事件。ETW 具有以下特征：开发人员可以根据预期用途选择合适的实现集（例如，很容易添加像 WPP 实现这样的 Printf，以用于调试目的的事件）。基础结构管理常用信息，如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。