ETW:Windows 事件追踪 101
ETW是Windows操作系统提供的跟踪工具,可以记录应用程序和驱动程序产生的事件。它支持高速记录、故障排查和性能分析等功能。ETW的控制由控制器实现,提供事件的是提供商,而请求监听事件的是消费者。学习ETW可用于分析系统行为,包括故障排查和性能影响因素排查。
ETW是Windows操作系统提供的跟踪工具,可以记录应用程序和驱动程序产生的事件。它支持高速记录、故障排查和性能分析等功能。ETW的控制由控制器实现,提供事件的是提供商,而请求监听事件的是消费者。学习ETW可用于分析系统行为,包括故障排查和性能影响因素排查。
这篇文章介绍了在Windows系统上的Dump文件类型,分为内核模式和用户模式。内核模式包括完全内存转储、核心内存转储、小内存转储、自动内存转储和活动内存转储。而用户模式则有完整用户模式转储和小型转储。不同类型的Dump文件大小、包含的信息和用途各不相同,可以用于系统和应用程序的故障分析与诊断。
这段内容讲述了如何使用PowerShell对脚本文件进行数字签名,以确保脚本的完整性和安全性。首先,需要导入数字证书,并使用Set-AuthenticodeSignature命令对脚本进行签名。签名时最好加上时间戳以防止签名过期。另外,还介绍了如何验证文件是否已签名,可以通过get-authenticodeSignature命令或查看文件属性的数字签名来进行验证。签名后,文件内容不能被更改,否则签名状态会变为HashMismatch。
这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理,特别是拦截截屏操作。文章首先指出在传统Windows应用程序中,系统没有提供直接的权限管控,因此需要采取一些其他方式,如使用hook来进行权限管控。接着,文章演示了如何通过API Monitor来监听目标应用程序的行为,以确定其使用的截屏方式。然后,文章介绍了如何使用BitBlt接口进行hook操作,以实现拦截截屏。最后,文章提供了注入hook DLL到目标进程的方法,以实现权限管理。
这篇内容介绍了如何在Windows中编写第一个本地应用程序(Native App)
这篇文章介绍了如何使用Windows Performance Toolkit(WPT)来分析Windows系统的启动过程。WPT包括Windows Performance Recorder(WPR)和Windows Performance Analyzer(WPA)两个工具,用于记录和分析性能数据。通过WPR记录性能场景为开机,然后使用WPA打开记录的ETL文件进行分析。文章还提到了一些注意事项,例如如果遇到0x80070032错误,可以安装WPA Preview来解决。最后,文章介绍了如何在WPA中查看启动过程中的进程启动顺序和其他相关信息。
在64位的Windows系统中,有一个神秘的文件夹叫做"Sysnative",它在Explorer中无法访问,但在兼容32位应用的情况下扮演重要角色。在64位系统上,一些32位应用需要访问特殊文件夹,例如System32,但直接访问会被重定向到SysWOW64文件夹。为了解决这个问题,可以使用"SysNative"虚拟文件夹,允许32位应用访问64位文件。这个特殊文件夹对于兼容性很重要,因为它允许32位应用与64位应用交互。
这篇文章讨论了在 Windows 中预装应用程序并进行分发的两种方法。第一种方法是使用GHOST分发,需要先在物理机上配置并安装Windows,然后通过备份工具如Norton Ghost、Acronis True Image等来创建系统备份镜像。第二种方法是直接修改Windows镜像,可以使用工具如NTLite来加载ISO文件并添加预装软件,然后生成新的ISO文件进行分发。GHOST分发需要走完Windows的安装流程,而直接修改ISO则避免了这一步骤,但需要一些上手成本。
这篇文章介绍了如何从头开始使用Windbg调试Windows服务。首先,作者提到了设置注册表项,以使Windows在启动服务时自动启动Windbg来进行调试。其次,作者建议延长服务的超时时间,以便有足够的时间进行调试。最后,对于一些复杂的服务,例如svchost.exe中包含多个服务的情况,作者解释了如何将特定服务隔离到单独的svchost.exe进程中进行调试。这些步骤有助于开发人员更有效地调试Windows服务。
本文介绍了在驱动开发调试过程中如何使用 DebugView(DbgView.exe)来查看输出。首先需要下载 Sysinternals Suite 中的 DbgView.exe 工具,然后在注册表的 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 下增加一个 Debug Print Filter 的键,并设置其值为 8。对于 Windows Vista 及之后的系统,需要进行重启。在打开 DbgView.exe 时,需要使用管理员权限,并在 Capture 中勾选 Capture Kernel 以查看驱动的输出信息。在驱动中,可以使用 KdPrint 宏来打印输出,需要注意 KdPrint 后面会跟两层括号。如果没有打印输出,可能是因为内核调试输出未开启,可以通过命令 "ed nt!Kd_DEFAULT_MASK 0xffffffff" 来开启。