使用内核运行ETW提供程序收集打开的注册表项句柄
是一种在Windows操作系统中进行性能分析和故障排查的技术。ETW(Event Tracing for Windows)是Windows提供的一种高效的事件跟踪机制,可以用于监视和记录系统和应用程序的各种事件。
在这种情况下,使用内核运行的ETW提供程序可以收集打开的注册表项句柄。注册表是Windows操作系统中用于存储配置信息的重要组件,而注册表项句柄则是对注册表项的引用。通过收集打开的注册表项句柄,可以了解系统或应用程序对注册表的访问情况,从而进行性能分析和故障排查。
这种技术的优势包括:
- 高效性:ETW是在内核级别实现的,因此具有较低的性能开销和较高的效率。它可以在系统运行时进行事件跟踪,而不会对系统性能产生显著影响。
- 精确性:ETW可以提供非常详细的事件信息,包括时间戳、进程ID、线程ID等。这些信息可以帮助开发人员准确定位和分析问题。
- 可扩展性:ETW支持多个提供程序同时进行事件跟踪,可以灵活地根据需求选择需要跟踪的事件类型和提供程序。
使用内核运行ETW提供程序收集打开的注册表项句柄的应用场景包括:
- 性能优化:通过分析注册表项的访问情况,可以发现性能瓶颈并进行优化,提高系统或应用程序的响应速度。
- 故障排查:当系统或应用程序出现问题时,可以通过分析注册表项的访问情况来定位问题的根源,从而进行故障排查和修复。
- 安全监控:注册表是系统中重要的配置信息存储区域,通过监控注册表项的访问情况,可以及时发现异常行为和安全威胁。
腾讯云提供了一系列与云计算相关的产品,其中包括与性能分析和故障排查相关的产品。具体推荐的产品和产品介绍链接地址如下:
- 云监控(https://cloud.tencent.com/product/monitoring):提供全面的监控和告警服务,可以监控系统和应用程序的各种指标,包括注册表项的访问情况。
- 云审计(https://cloud.tencent.com/product/cloudaudit):提供全面的日志审计服务,可以记录系统和应用程序的各种操作日志,包括注册表项的访问日志。
请注意,以上推荐的产品和链接地址仅为示例,实际选择和使用产品时应根据具体需求进行评估和决策。
相关·内容
2回答
我记得在我大学最后一年的项目中,我写了一个C#注册表监视器,然而,当我将它与微软的ProcessMonitor应用程序(我记不清它的确切名称,但它是一家被MSoft收购的公司)进行比较时,我捕获的注册表调用并不多。
这是不是因为我使用了C#包装器,因此它只能捕获用户模式的注册表访问?
我使用了这个包装器:
为了捕获内核模式注册表访问,我必须用C++编写代码吗?
浏览 29提问于2011-01-29得票数 7
2回答
监视内核注册表的更改
、、、、
人们能不能给我指点(没有双关意)的主题,我将需要研究,才能做到这一点?我并不是Windows方面的专家,但是我很快就掌握了新的概念。
我看到了Mark和Bryce Cogswell写到的进程监控程序:
它可以查看内核中发生的一切注册表键。过去,我已经能够使用C#和用户级注册表访问来完成这类工作,但是我无法使用从codeproject获得的包装器套件访问内核。
能不能请大家帮我问好我该从哪里开始?我想我需要更多关于Windows/OS方面的帮助。
这样做的原因是:(我更像一个Java程序员,而不是C++程序员,但是我想进入后者。最好的学习方法是做一些你感兴趣的事情,所以我对实时应用程序很感兴趣,
浏览 2提问于2011-03-26得票数 4
2回答
DLL加载通知
、、
当系统中的任何进程加载特定的DLL或所有DLL加载事件(我可以过滤掉)时,是否有可能在我的程序中获得通知?就像processess如何从所有进程获得通知一样。为此,我可以使用process,但是在发生特定的DLL加载事件时,我想要采取一个操作(显示弹出)。
我也在寻找任何开源的程序,可以为我做这份工作。
先谢谢你。
浏览 7提问于2015-10-14得票数 3
回答已采纳
我正在编写一个ASP.NET MVC应用程序,我看到了我的一个动作的随机性能。我最初的想法是垃圾收集开始了,应用程序暂停了一段时间,但我似乎找不到一个按钮/开关来证明或反驳我的理论。
对于没有java用户的人来说,-verbose:gc是一个命令行开关,您可以将它传递给java应用程序,它将在GC事件发生时打印出JVM,以及打印输出所需的时间。
我尝试过使用vs2010 performance tool和JetBrains dotTrace,这两个工具都有点像使用热核武器来解决小问题。
浏览 1提问于2010-10-14得票数 6
回答已采纳
前几天我查看了的文档,注意到DuplicateHandle能够复制注册表项句柄(HKEY)。在SysInternals一书中进一步了解这一点似乎表明注册表项句柄是普通的内核对象,类似于文件句柄。然而,不能关闭HKEYs,也不能关闭其他类型的内核对象。
为什么会有这样的区别?
浏览 3提问于2012-03-07得票数 18
回答已采纳
此注册表项的用途是什么?
HKLM\SOFTWARE\Microsoft\WINDOWS NT\CURRENTVERSION\Winlogon\LeakTrack
浏览 0提问于2011-02-11得票数 0
回答已采纳
我正在尝试使用Microsoft Message Analyzer 1.3版本在IIS 8.5服务器上执行实时跟踪。我是我的Windows 7工作站和目标服务器的管理员。
我要附加的每个远程提供程序也必须安装在我的计算机上。是否有方法下载或复制Microsoft IIS日志访问提供程序到我的Windows 7工作站?我希望能够做到这一点,而不需要在我的工作站上安装IIS。我还想避免在服务器上运行。
浏览 0提问于2015-06-25得票数 1
回答已采纳
我正在开发自己的反病毒应用程序。我已经成功地实现了文件系统和进程监控,现在我正在寻找“某种防火墙功能”。我已经做了一些研究,并发现了iphlpapi.dll,netstat -o解析。
确切地说,当打开新的IP (TCP/UDP/任何东西)连接时,我希望接收具有以下数据的事件。
远程IP地址
协议(TCP/UDP/.)
端口
打开连接的进程的ID
我不想运行计时器,它仍然检查netstat输出,因为它是无效的。当检测到恶意IP连接时,我需要快速挂起进程(我知道如何挂起进程)。
浏览 1提问于2014-08-14得票数 1
回答已采纳
我注意到IIS 7有一个自定义日志记录模块logcust.dll。据说,这个模块帮助加载您自己的自定义日志记录模块。但我找不到关于如何使用它的任何信息。我打开了这个DLL,注意到它实现了IHttpModule并向所有事件注册,但是在事件处理程序中什么也不做。
对于另一个IIS模块iisetw.dll也有相同的问题。
浏览 0提问于2010-10-20得票数 3
我想在WinDbg中定期执行一些命令,例如每分钟一次。在这种情况下,我希望获得句柄统计信息(!handle)和.NET对象统计信息(!dumpheap -stat)来构建一个图形。作为一种解决方法,我目前正在使用procdump并每分钟创建一个转储,但是这需要占用大量硬盘空间(对于.NET来说是完全最小的),并要求我稍后分析所有转储(由脚本自动完成)。
如何定期执行WinDbg命令?
假设:用户模式实时调试。目标应用程序一直在运行。该命令在;g上结束,以便在命令执行后继续运行。时间不需要精确,特别是命令的执行时间并不重要。
在我开始用调试器引擎实现我自己的调试器之前,我想我可以通过WinDbg
浏览 0提问于2014-01-18得票数 1
回答已采纳
可以从经典的ETW提供程序中收集跟踪信息吗?或者XPerf仅限于基于清单的应用程序?我有一个自定义的经典提供者,我想知道我是否可以使用XPerf收集它的事件。
浏览 0提问于2011-03-10得票数 0
回答已采纳
2回答
我正在从debian主机解析history.log以生成一个带有日期/包/版本的csv。在测试环境中运行一组测试之后,然后在实际主机上更新这些包。
我也想对Windows做同样的事情。我已经使用.log PowerShell命令生成了一个PowerShell文件,但是很明显,除了时间戳之外,我无法获得任何有用的信息。据我所知,为了能够看到日志中实际对应于安装会话(在此日期安装的包X、Y&Z)的行,我需要启用详细的Windows Update日志,但是如何做到这一点呢?我还需要知道更新的实际名称,而不是ID。AFAIK,我可以手动将更新ID复制到微软更新目录中,但我想避免这种情况。启用详
浏览 0提问于2019-04-12得票数 1
回答已采纳
1回答
我试图在我的驱动程序中使用Etw捕获一些系统,更准确地说,我需要捕获NtWriteVirtualMemory和NtReadVirtualMemory用户模式调用,我尝试使用提供程序:,我使用PerfView来转储Windows101909的威胁性IntelienceXMLforWindows101909(正如微软所说的那样),并检查,但出于某种原因,我的回调只被调用一次(当EtwRegister在DriverEntry中被调用时),注册我的回调--我刚刚调用了EtwRegister,我应该怎么做才能调用回调?我使用Microsoft示例代码和由mc.exe(消息编译器)生成的头文件。
浏览 0提问于2020-02-21得票数 0
回答已采纳
1回答
谈论ETW和"PerfMonitor.exe“。本文讨论了从命令提示符启动分析的能力。例如:
PerfMonitor.exe runAnalyze MySlowApplication.exe
不知何故,我有或有这样的印象: PerfMon.exe是一个自我相同的工具。但是,当我尝试使用命令行选项时,它不起作用。所以也许它们确实是两种不同的工具?或者一个是另一个的更新版本(是否删除了命令行功能)?
然后是工具。我想知道这是一个新的版本,无论是perfmonitor还是perfmon?还是它仅仅是一种工具-它自己的?最后,这些工具提供的特性是否有分类?
浏览 0提问于2012-09-27得票数 6
在我的Windows驱动程序中,我想知道如何:
a)打开某些内置提供程序
b)通过提供一个回调函数(其中我想做一些事情)来实时消费事件,该函数是我的驱动程序的一部分。
c)关闭提供程序。
附言:我松散地使用了“打开”和“关闭”这个词。在Windows ETW的说法中,我认为它指的是“启用”提供者。
到目前为止,我一直在网上搜索关于如何做到这一点的信息,但到目前为止还没有找到任何东西。
浏览 2提问于2013-07-10得票数 0
2回答
我有用C++和C#编写的基于清单的ETW提供者。两个提供程序都使用相同的清单(由Microsoft.Diagnostics.Tracing.TraceEvent包从C#代码生成)。频道是调试。事件发布在两个提供程序中都是成功的(返回值为0),我可以在perfview中看到它们。
如果清单未安装,则C++提供程序的事件将以provider的GUID、events等形式显示在性能视图中。没有像提供者名称、事件名称这样的“字符串”属性。但是C#提供者的事件具有这些属性。为什么C#提供者可以这样做?在EventSource.cs中,有SendManifest方法,只有在使用C#提供程序时才会记录其他M
浏览 0提问于2016-05-13得票数 2
回答已采纳
你已经做了上千次了:你拔掉一些USB设备,任何与该USB设备相关的设备都会被驱动程序移除。任何使用以前打开的文件句柄的程序都会出现错误。不知怎么的,大多数Linux驱动程序都在处理这个问题。
我目前正努力在一个简单的驱动程序中实现同样的功能。我的驱动程序创建了一个字符设备。当设备打开时,我将struct file的struct file成员设置为每个字符设备存在一次的一些管理数据的地址。该管理数据还包括一个互斥体,用于同步read、write和ioctl等操作。
当USB设备被拔出时,现在出现了这个问题。我不能释放那些管理数据所在的内存。首先,任何当前运行的read、write或ioctl都应
浏览 3提问于2021-11-30得票数 3
回答已采纳
3回答
我如何观察特定的进程,以知道它在运行时使用了哪些资源(例如声音、图片、游标和注册表项)?
我必须通过编程方式使用C# (例如,使用Windows或任何第三方库)。
任何帮助都是非常感谢的。谢谢。
浏览 5提问于2013-02-09得票数 6
就像主题中的我想知道如何为特定的windows驱动程序“打开”ETW或WPP。让我们以vdrvroot.sys为例。当我们反汇编这个驱动程序时,我们在DriverEntry函数调用的开头看到:
McGenEventRegister();
WppLoadTracingSupport()
WppInitKm()
这将打开跟踪功能。对于McGenEventRegister中的ETW,我看到以下提供程序注册:
result = EtwRegister(
&VDRVROOT_PROVIDER_ID,
McGenControlCallbackV2,
&VDRVROOT_P
浏览 9提问于2016-06-09得票数 0
2回答
实时测井
、、、、
我有一个具有循环的应用程序,它是"Scheduler“的一部分,它一直在运行,是应用程序的核心。就像一个游戏循环,只是我的应用程序是一个WPF应用程序,而不是一个游戏。当然,应用程序在很多地方都会进行日志记录,但是Scheduler会做一些敏感的监视,有时不可能从日志中判断出错误的地方(我所说的错误并不是指异常)或当前的状态。
因为Scheduler的内部循环运行间隔很短,所以不能在其中执行基于文件I/O的日志记录(或使用事件查看器)。首先,您需要实时地查看它,其次,日志文件的大小增长得非常快。因此,我在考虑如何实时地向用户显示这些数据,我考虑了一些事情:
在UI中实时显示数据
浏览 5提问于2010-04-18得票数 3
回答已采纳
正如维基百科所述,:“当生成调用时打开的文件在子进程中保持打开”。(非常类似于exec())
好的,OS已经打开了一些文件&为我们新生的未意识到的进程做好准备。假设我们的进程reamins不知道以前打开的文件,并最终决定终止;而像C这样的编程语言需要在终止之前清理一些内部进程。
我的问题是,这种清理是否会以任何方式影响那些打开的文件? AFAIK --它们没有在任何地方注册,也没有在进程内部注册任何内容。
答案应该定义程序员的行为,同时终止派生()ed进程(甚至是exec()ed进程)。彻底清理程序会对父母造成任何伤害吗?(例如,通过删除临时文件),因此程序员不应该使用_exit()而
浏览 3提问于2011-04-08得票数 4
回答已采纳
1回答
是否可以从Microsoft服务器分析日志(Microsoft DNS - Server / Analytical )中提取DNS响应?日志在事件的PacketData部分中包含一个名为"PacketData“的字段,但到目前为止,我还无法从PacketData字段中提取任何有用的内容。
浏览 0提问于2019-03-26得票数 0
为什么我应该使用而不是标准的.NET ,反之亦然?知道我们将使用相当多的性能计数器会影响决策吗?
到目前为止我所知道的是:
应该是。
ETW的集成工作要多得多(例如,)。
通过选择ETW中的一个标准通道(例如,应用程序、系统),事件日志中可以获得相同的信息。
浏览 4提问于2012-03-08得票数 15
回答已采纳
2回答
我想知道在c++ win32应用程序中记录调试打印信息的最常见和/或被接受的方式是什么。我不是用视觉工作室,而是和GCC一起编译的。
我习惯于在Android上进行开发,并使用logcat编写和监视日志。对于win32来说有这样的东西吗?
编辑:
用这样的东西最常见吗?
浏览 2提问于2015-10-19得票数 1
回答已采纳
3回答
关于如何监视基于Windows的应用程序(控制台应用程序、Win Forms应用程序或服务)的性能,有了一个快速的问题。我在寻找有关如何正确有效地监视性能(CPU利用率、内存利用率、进程等)的信息。用于在.NET环境中开发的应用程序。代码中是否有我需要编写的代码来触发WMI的可用性?是否有特定的方法来创建与您所创建的应用程序直接相关的性能计数器?我想得到尽可能多的运行应用程序的细节。
如果需要在应用程序上编码以调用WMI监视器,请列出示例。
此外,是否有任何人推荐的预构建(开放源码)应用程序性能测试工具?
浏览 4提问于2014-01-31得票数 4
回答已采纳
我正在研究 (ETW),以便让用户模式的windows客户端能够写出跟踪信息。坦率地说,现有的文档非常不完整。真正有帮助的是一个简单的C++示例,它使用ETW写出跟踪消息。有这样的例子吗?您可能会推荐其他ETW文档吗?
浏览 1提问于2010-01-26得票数 16
回答已采纳
2回答
我正在使用一个WinCE设备,它有一个用MFC编写的无线电管理器驱动程序。在无线电GUI的代码中,我可以看到调用了特定IOCTL的函数Deviceiocontrol。但是,我无法跟踪此函数调用的特定代码段。有人能告诉我Deviceiocontrol是怎么工作的吗?
浏览 3提问于2010-04-21得票数 0
回答已采纳
我正在编写一个带有链接的html文档,当用户单击这些链接时,应该打开一个带有参数的程序。
作为测试此过程的示例,我尝试创建一个URI方案,它应该使用我编写的一个简单文本文件的参数启动notepad++.exe
从PowerShell直接运行如下所示,并成功打开我的文本文件
PS C:\> & 'C:\Program Files\Notepad++\notepad++.exe' 'C:\TestingDocument.txt'
我遵守了的指示。并编写了一个html文件,如下所示:
<html> <body> <a hre
浏览 3提问于2017-08-09得票数 2
7回答
我想知道是否有一种编程方法来获得通过TCP流发送数据时所使用的全部带宽的度量。由于我似乎不知道网络堆栈如何将流划分为数据包,或者当它发送TCP SYN或ACK或它在后台为您做的许多事情时,我只能得到一个粗略的估计。
我能想到的唯一解决方案是实际嗅探接口,但我认为堆栈已经可以为我收集这些统计数据了。
这是在Windows或Linux下运行的Java (当然,最好是可移植的解决方案),但我可以将C/C++答案JNI化,因此(以及OS调用)也是一个很好的答案。谢谢!
浏览 0提问于2010-02-04得票数 7
1回答
我正在尝试使用C#在事件查看器中创建文件夹结构。我已经在事件查看器中的应用程序和服务日志(例如MyApp )下创建了一个新的日志文件夹,但我希望这个文件夹包含多个不同的日志文件,每个日志文件对应于不同的服务应用程序。这在C#中是可能的吗?如下所示: ?
浏览 17提问于2021-07-12得票数 0
我有一个多文件的C程序。我希望用户能够在运行时指定不同的调试级别。
实现这一点的最佳方式是什么?
我正在考虑让一个debug(level,"message")类型的函数导出并在任何地方使用。还有更好的/其他的想法吗?
浏览 0提问于2008-11-29得票数 9
2回答
我正在尝试使用XPerf来检测应用程序以进行性能分析。我的目标是记录C#应用程序中的启动/停止事件,并分析这些事件之间的某些内核指标。
我正在应用程序中创建一个TraceListener和TraceSource,并将事件记录到源中。然后,我使用logman启动两个会话:一个捕获来自提供程序的事件,另一个捕获内核事件(xperf -on DiagEasy)。在我的会话结束时,我使用XPerf将这些文件合并在一起并查看/覆盖图形。所有这些都运行得很好。
我的应用程序的事件显示在“通用事件”图表中,但是这些事件没有标识信息(没有名称,没有事件数据),所以很难区分哪个事件是哪个事件。我知道我的事件数据
浏览 6提问于2012-08-31得票数 3
回答已采纳
我有运行在核心10上的UWP项目。
我无法远程调试它,所以我创建了自己的文件日志记录。
然而,一些时间应用程序退出时没有任何错误,我想这是一些未处理的异常。
我在哪里可以找到日志和如何阅读它?
浏览 2提问于2019-02-21得票数 0
回答已采纳
1回答
我使用ETW在我的应用程序中进行跟踪。所以我创建了一个定制的EventSource和EventListener。
现在,我想使用来自客户端的跟踪。例如,当应用程序得到未处理的异常时,我希望我的应用程序将跟踪日志转储到一个文件中,这样我就能够远程知道发生了什么(所以我想要一个跟踪转储)。
问题1: ETW是为这个(转储)设计的,还是仅仅是一个跟踪工具,而我必须实现另一个不同的解决方案?
问题2:(如果问题1 => ETW可以做这样的事情)我如何才能做到这一点?
编辑:这是Windows 10通用应用程序。
浏览 1提问于2015-08-20得票数 0
有没有人知道C#中有一个分析器库,我可以将它嵌入到我的源代码中来进行基于样本的分析?例如,定期获取指令指针位置,将其存储在内存中,并允许将其保存到文件中,然后进行分析,假设是由某个桌面应用程序进行分析?
我知道有很多传统的分析器应用程序(如JetBrains、Ants等),但我想分析在非桌面平台上运行的C#程序,在非桌面平台上,这些分析器都不能使用。我希望我的应用程序对自身进行采样,而不是外部分析器。
浏览 1提问于2012-08-29得票数 5
我有一个GUI应用程序,用于配置windows服务,我希望从thing应用程序启动、停止或重新启动该服务。
其中一个问题是,该服务可以在两种模式下运行: windows服务或从命令行手动运行(因此您有一个控制台)。
现在,我正在寻找一种沟通的方式,一种在这两种情况下都有效的方式。
如果指定服务流程已经具有甚至处理以下事项的处理程序,可能会有所帮助:
CTRL_C_EVENT
CTRL_CLOSE_EVENT
CTRL_BREAK_EVENT
CTRL_LOGOFF_EVENT
CTRL_SHUTDOWN_EVENT
如果我知道服务重新启动选项将触发什么事件,就很容易
浏览 0提问于2013-07-22得票数 1
所以RegistryKey.CreateSubKey(String) 的doco说
返回值:新创建的子键,如果操作失败,则为null。如果为子键指定了零长度字符串,则返回当前的RegistryKey对象.
然而,查看异常列表
ArgumentNullException:当子键为空时。
SecurityException:当用户没有创建或打开注册表项所需的权限时。
ObjectDisposedException:当调用此方法的RegistryKey被关闭时(无法访问关闭的键)。
UnauthorizedAccessException:当RegistryKey无法被写入时;
浏览 2提问于2013-11-08得票数 1
回答已采纳
如何使用C++中的应用程序接口获取应用程序的CPU使用率或磁盘使用率?
我想在windows上运行的应用程序中获得最高的CPU使用率或磁盘使用率。我试着找出API,但没有直接的API。有没有人可以让我知道如何在C++中进行此操作。
浏览 3提问于2009-06-29得票数 4
根据Azure Notification Hub 的说法,当从应用程序后端注册时,应用程序会向后端提供其PNS句柄。
如果用户长时间不运行应用程序怎么办?如果用户在几天后没有打开应用程序,他的手柄将被续签。在这种情况下,如果我发送推送通知,用户将不会收到它?
浏览 0提问于2016-06-10得票数 0
1回答
我正在尝试编写一个内核驱动程序来管理一些物理上连续的内存块和DMAable内存(我使用的是kmalloc(),因为它们只是DMA流)。为了将一些功能引入用户空间,这个内存将使用它自己的mmap()实现进行mmap()编辑。我一直在使用Linux设备驱动程序和在Google中出现的坏例子作为我的主要信息来源。
我的mmap() (暂时称为my_mmap() )需要在内核中注册。这似乎是使用struct file_operations进行此操作的唯一有效方法,但这需要为其创建字符设备和物理位置。我不想这样做。我只想为用户空间应用程序创建一个虚拟地址来访问内存缓冲区,而不是创建任何文件来将内存缓冲区
浏览 4提问于2012-06-25得票数 4
回答已采纳
我需要提取给定进程的磁盘统计信息,我可以获取列出的进程,并使用WMI和PerformanceCounters获取诸如CPU和内存之类的总体信息。但是所有的信息都是捆绑在一起的,有没有办法在每个进程中提取这些数据。有点像Windows资源监视器吗?
提前谢谢
浏览 2提问于2014-02-25得票数 4
回答已采纳
我最近开始熟悉perfmon和xperf。Perfmon使用性能计数器,而xperf使用ETW (windows事件跟踪)。Perfmon具有提供数据的对象,而xperf使用一组“提供者”。作为这一领域的新手,我想问的是,是否有人能告诉我perfmon使用的性能计数器是否真的与xperf使用的ETW事件基于相同的东西,如果是这样,您能清楚地说明其中的联系吗?如果它们不是基于相同的东西,你能解释一下它们有什么不同吗?
浏览 2提问于2010-11-06得票数 3
回答已采纳
我想检索提供程序"Microsoft-Windows-HttpService“的清单xml文件。
我正在使用Microsoft.Diagnostics.Tracing库在我的.Net应用程序中使用ETW事件。
这个库有一些内置的解析器,比如KernelTraceEventParser,ClrTraceEventParser。但是它没有解析器Http服务。我正在尝试为这个创建新的解析器。
我尝试了下面的命令来生成清单
perfView /onlyProviders=*Microsoft-Windows-HttpService collect
并从生成的.zip文件中,运行以下命令以生成
浏览 1提问于2014-07-17得票数 3
1回答
我们在自己的应用程序中使用带有导入的ActiveX类库的MS应用程序(例如,动态地将MS文档转换为PDF )。
我们的应用程序有意等待直到MS应用程序后台线程结束。
自从MS-OfficeVersion2019,我们注意到后台线程阻塞了很长时间(18-25秒)。原因很明显是,遥测数据一旦MS应用程序关闭/退出,就会被发送。
使用ProgMon工具进行监视就证明了这一点。
我们还发现有一个解决办法,可以通过操作以下注册表项来禁用发送遥测数据:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Common\ClientTelemetry:
浏览 0提问于2019-08-02得票数 5
我认为这两个函数将返回相同的内核句柄。我写了一个测试程序来证明我的观点:
在我程序中,我创建了一个名为'_MYTEST‘的内核句柄
hHandle1 = CreateMutex(NULL, false, _T("_MYTEST"));
然后我启动一个线程,并用下面的代码打开这个线程上面的句柄:
hHandle2 = OpenMutex(MUTEX_ALL_ACCESS, false, _T("_MYTEST"));
当我运行程序时,我发现两个返回值不相等!hHandle2的值比hHandle1的值大4。为什么?我的代码有问题吗?如果没有,为什么两个值不相
浏览 1提问于2012-04-24得票数 2
回答已采纳
我使用ETW机制实现了一个用于事件日志记录的C#代码。它工作得很好,我能够在事件查看器中记录所有事件。但我的要求是将我的应用程序生成的所有日志重定向到本地网络中的另一台远程计算机。
谁能帮助我知道使用ETW日志技术在远程机器上注册所有日志的C#代码样本。
感谢Lav
浏览 2提问于2014-10-01得票数 0
日安。
最近,我的VPS服务器(它上的CentOS)出现了“系统中打开的文件太多”的错误。我读了很多关于这个错误的文章,并且知道这个限制是由我的主机提供商设置的。我从主机提供程序收到了一个限制列表,他们说限制是12000个文件。
我试着用lsof实用程序来寻找问题。当问题发生时,我设法找到了lsof stat的响应:
[root@XXXXXXXX]# lsof | wc -l
3895
有时它上升到4300左右,但我从未见过它跳得比这更高。
这个问题是这样说的:效用的lsof是否显示出不完整的结果,还是主机的问题?如果是这样的话;S比我还能用什么来获得最大精度的数字。
浏览 0提问于2012-04-13得票数 1
1回答
NT注册表处理行为
、、、、
我正在做一个应用程序虚拟化项目。因此,我将应用程序挂在NT级别,并将注册表调用定向到我的虚拟注册表。在运行任何应用程序时,如果我转到File -> Open..。我几乎没有如下所示的注册表呼叫:
ZwOpenKey(registry key path) ->它生成手柄ex:(0x04e8)
ZwQueryKey(0x4ea,...)
Process表示,打开和查询都是在相同的键上执行的。我自己测试并确认了这是同一把钥匙。
另外,查询键为querykey生成了正确的结果。这两个字节的差异并不适用于所有打开和查询键的情况。
应用程序在调用0x4e8之前如何以及为什么将句
浏览 5提问于2011-03-11得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
