windows_event读记录

最新推荐文章于 2022-03-02 14:56:03 发布
原创 最新推荐文章于 2022-03-02 14:56:03 发布 · 340 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文详细介绍了Windows操作系统中事件(Event)对象的基本概念与使用方法,包括创建、设置、等待等操作,探讨了事件对象与线程之间的关系,并列举了常用API函数。

读https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms682655(v=vs.85).aspx

记录

event创建时,手动和自动set,手动set要手动setevent才可以用。

自动set在wait状态前全部singnaled,在线程release掉后. 占用时候为nosingnaled.



dwWaitResult = WaitForSingleObject(
ghWriteEvent, // event handle
INFINITE);    // indefinite wait

来获取event,

返回值为0 则为得到event


调用根据系统APC机制。



记得最后用完,

CloseHandle(ghWriteEvent); 

close掉。

一般为全局event。

HANDLE EVENT;

方式命名。

等待多个event为

// The handle for each thread is signaled when the thread is
// terminated.
dwWaitResult = WaitForMultipleObjects(
THREADCOUNT,   // number of handles in array
ghThreads,     // array of thread handles
TRUE,          // wait until all are signaled
INFINITE);




最后发现EVENT其实和THREAD为同HANDLE.

我简单理解thread是event的抽象。


具体的function有

CreateEvent SetEvent OpenEvent PulseEvent ResetEvent



windows多线程(七) 事件event
05-30 833
前面说的互斥量Mutex与关键段CriticalSection都不能实现线程的同步,只能实现互斥,接下来我们用时间event就可以实现线程的同步了,事件也是一个内核对象。 一、相关函数说明 (一) 创建事件 1.函数原型 HANDLE WINAPI CreateEventW( _In_opt_ LPSECURITY_ATTRIBUTES lpEventA...
FreeSWITCH 1.10 源码阅(1)-服务启动及 event_socket 模块工作原理
谈谈1974
09-16 4786
FreeSWITCH 是一个开源的电话软交换平台,使用广泛,功能强大。本文基于 FreeSWITCH 1.10 版本,者如有兴趣可以自行点击链接进入 github 下载源码。下图为 FreeSWITCH 服务启动及 Event Socket 模块运行工作的源代码时序,下文将对源码流程进行代码分析FreeSWITCH 是用 C 语言写的,服务启动的入口为 函数。这个函数非常长,不过主要的处理大致分为以下几步: 函数是初始化重要组件和模块的入口,不过本文关注的主要是以下几个函数调用,FreeSWITC
windowsEvents
weixin_30770495的博客
06-04 127
今天我们要实现这个关闭窗口的功能,就是点窗口的那个叉叉它会关闭。 设计窗口的事件就是WindowsEvents,而与之有关的监听器就是WindowsListener WindowsListener也是个接口,它有7个方法,分别处理windows的不同的事件。 比如windowActivated()window被激活,就是两个窗口,一个是颜色变灰,一个仍是蓝色,然后你用鼠标点那个灰的...
Jna取本地windows event实例
09-26
针对现如今最新版JNA取本地window event的实例 供参考
pythonwindows日志_甚至取特定的Windows事件日志
weixin_39613712的博客
12-17 784
不!没有任何函数允许您根据事件id获取事件GetNumberOfEventLogRecords Retrieves the number of records in the specified event log.GetOldestEventLogRecord Retrieves the absolute record number of the oldest recordin the ...
window.event对象详细介绍
woxingwosu13的专栏
05-14 7668
body{line-height:1.5;}1、event代表事件的状态,例如触发event对象的元素、鼠标的位置及状态、按下的键等等。event对象只在事件发生的过程中才有效。event的某些属性只对特定的事件有意义。比如,fromElement 和 toElement 属性只对 onmouseover 和 onmouseout 事件有意义。 2、属性:
Libevent学习记录(5)
weixin_53811793的博客
03-02 2647
Libevent学习记录(5)TCP服务端和客户端开发基本流程服务端开发流程客户端开发流程服务端代码:客户端代码运行结果 TCP服务端和客户端开发基本流程 本节通过学习TCP服务端和客户端开发基本流程,对libevent库官方sample进行改写,完成一个小项目, 功能:server启动后,client端启动并连接,在client中输入文字,server端收到后打印出来,并给client反馈一条信息表示已经收到。 服务端开发流程 1、创建event_base_new()创建框架上下文对象event base
libevent源码学习(6):事件处理基础——event_base的创建
HerofH_的博客
07-01 1486
目录 前言 创建默认的event_base event_base的配置 event_config结构体 创建自定义event_base——event_base_new_with_config 禁用(避免使用)某一种IO复用模型 设置IO复用模型需要满足的特征 设置event_base的flag特性 获取event_base所满足的特征 获取当前系统所支持的IO复用模型 总结 ...
如何利用ETW(Event Tracing for Windows记录日志
weixin_34006965的博客
10-25 2791
ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provid...
libevent源码学习(7):event_io_map——哈希表数据结构解析
HerofH_的博客
07-25 1295
目录 event_io_map 哈希表操作函数 hashcode与equals函数 哈希表初始化 哈希表元素查找 哈希表扩容 哈希表元素插入 哈希表元素替换 哈希表元素删除 自定义条件删除元素 哈希表第一个非空元素 哈希表下一个元素 释放哈希表 向event_io_map中添加event 激活event_io_map中的event 删除event_io_map中的e...
Python解析windows系统日志文件
weixin_41038905的博客
06-19 6231
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。 参考博客: python网络编程学习笔记:XML生成与解析 Python取证技术: Windows 事件日志分析 1.安装python_Evtx...
pythonwindows日志_Python取证技术(3): Windows 事件日志分析
weixin_34449520的博客
02-04 3699
Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看。安装python_Evtx直接使用如下命令安装即可。pip install python-evtx如果没有安装pip,下...
Event Viewer 查看 Windows 系统日志
weixin_34204057的博客
06-12 6283
打开 Event Viewer 开始菜单搜索"Event Viewer", 打开 Event Viewer, 左边栏的树形图找到"Application and Services Logs". 该目录下有关于记录日志的用户程序产生的系统日志. 根据此日志可取程序故障原因 打开 Event Viewer 日志目录 Event Viewer 日志目录为"C:\Windows\System32\w...
事件查看器使用分析
收集盒 Book box
07-05 2157
如果你已经用上了Windows XP,那么是否意识到不管你是否愿意,操作系统每天都在后台默默无闻地记录下所有的一举一动,相当于忠实的史官“铁笔写春秋”,这就是可以在“控制面板→管理工具”中找到的“事件查看器”,通过它可以了解系统的喜怒哀乐和一言一行,虽然都是一些流水账,但我们既可以从中品尝到成功的喜悦,也可以找到失败的原因,实在是一个忠实的系统助手。     事件查看器能看些什么
Windows Event 的各个相关函数解释 及 简单例子一个
weixin_34143774的博客
08-02 252
SetEvent 是设置信号为 有信号状态ReSetEvent 是设置信号为 无信号状态CreateEvent的第二个参数如果是TRUE,意思是你必须用SetEvent和ResetEvent来设置信号,如果为FALSE,则用WaitForSingleObject自动进入无信号状态。结束后用SetEvent重置为信号状态。 OpenEvent可以打开一个先前已经创建好的Event,只要名字对,就可...
如何查看Windows事件日志
热门推荐
weixin_30594001的博客
02-06 2万+
我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。 1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。 ...
关于写入Windows Log Event却没有任何记录的问题
写代码的蜗牛
05-28 5512
在本机或者服务器上,写入Windows Event Log日志代码,执行了没有报错,但是打开Windows Event Log记录面板,却看不到任何记录,很可能是你当前用户没有权限是写入东西。此时,我们做一些配置,就可以使当前用户拥有写入Event Log的权限。 设置:“开始->运行”,输入命令,“regedt32”,找到“System->CurrentControlSet->Serv
Windows中事件(Event)的应用
weixin_30512785的博客
08-21 374
一些主要函数的介绍//Creates or opens a named or unnamed event object. //创建或打开一个事件 HANDLE CreateEvent( LPSECURITY_ATTRIBUTES lpEventAttributes, //事件的安全属性 BOOL bManualReset, //手工重置事件(TRUE),或者自动重置...
查看windows安装和卸载记录
最新发布
08-28
<think>首先,用户的问题是:“我想查看Windows系统的软件安装和卸载记录 请问how to check installed and uninstalled programs history on Windows”。这是一个关于如何在Windows上查看软件安装和卸载历史的问题。 我的系统指令要求: - 所有行内数学表达式使用 $...$ 格式。 - 独立公式使用 $$...$$ 格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 - 参考站内引用,但用户提供的引用似乎与问题无关。引用[1]是关于Linux库的,引用[2]是关于Android hook的,引用[3]是关于Delphi组件创建的。这些与Windows软件安装历史无关。因此,我应该忽略这些引用,专注于提供准确的信息。 关键点: - 用户想知道如何查看安装和卸载的记录。 - 在Windows中,这通常涉及查看事件日志、注册表或使用特定工具。 结构化回答: 1. **引言**:简要介绍问题。 2. **方法**:提供几种查看安装和卸载历史的方法。 - 使用事件查看器(Event Viewer)。 - 检查注册表。 - 使用PowerShell命令。 - 使用第三方工具。 3. **逐步指导**:对每种方法给出清晰的步骤。 4. **注意事项**:提醒用户潜在风险,如修改注册表。 5. **生成相关问题**:在末尾添加相关问题。 生成相关问题: - 基于主题,如Windows事件日志、软件管理、故障排除等。 确保回答真实可靠: - 基于Windows知识:事件查看器日志在“应用程序”或“设置”下,注册表键在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall等。 - 使用中文。 最终回答结构: - 开头:确认问题。 - 主体:方法列表。 - 结尾:相关问题。</think>### 查看Windows系统软件安装和卸载记录的方法 在Windows系统中,软件安装和卸载记录可以通过多种方式查看,包括内置工具(如事件查看器、注册表编辑器)和第三方软件。这些记录通常存储在系统日志或注册表中,但并非所有操作都会被完整记录(例如,某些便携式软件的安装可能不会留下痕迹)。以下是逐步指导的方法,帮助您安全地检索这些信息。操作前请注意:**修改注册表或系统文件可能导致系统不稳定,建议备份重要数据或创建系统还原点**[^1]。 #### 方法1: 使用事件查看器(Event Viewer) 事件查看器记录Windows的系统事件,包括软件安装和卸载活动。这些日志通常位于“应用程序和服务日志”中。 1. **打开事件查看器**: - 按下 `Win + R` 键,输入 `eventvwr.msc`,然后按 Enter。 - 或者,在搜索栏中输入“事件查看器”并打开。 2. **导航到相关日志**: - 在左侧面板,展开“应用程序和服务日志” → “Microsoft” → “Windows”。 - 找到“AppxPackaging/Operational”(记录UWP应用安装)或“Application-Experience/Program-Telemetry”(记录传统软件安装)。 - 双击日志名称,右侧面板会显示事件列表。 3. **筛选事件**: - 在右侧面板,点击“筛选当前日志”。 - 在“事件ID”框中输入: - 安装事件ID:`1033`(MSI安装器)或`200`(AppX安装)。 - 卸载事件ID:`1034`(MSI卸载)或`203`(AppX卸载)。 - 点击“确定”,系统会列出所有相关事件。每个事件包含时间戳、软件名称和操作结果。 4. **导出记录**(可选): - 右键点击筛选后的事件,选择“保存筛选后的事件”,可导出为CSV文件供分析。 此方法适用于Windows 7及以上版本,但日志可能不完整(例如,绿色软件或手动删除的文件不会被记录)[^1]。 #### 方法2: 检查注册表 Windows注册表存储了已安装软件的卸载信息,主要针对通过安装程序(如MSI)的软件。 1. **打开注册表编辑器**: - 按下 `Win + R`,输入 `regedit`,按 Enter。确认管理员权限。 2. **导航到卸载键**: - 在左侧面板,依次展开: - 32位软件:`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` - 64位软件(在64位系统中):`HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall` - 每个子键代表一个软件,键名通常是软件GUID或名称。 3. **查看安装/卸载记录**: - 点击子键,右侧面板显示详细信息: - `DisplayName`:软件名称。 - `InstallDate`:安装日期(格式如`20230101`)。 - `UninstallString`:卸载命令(包含卸载时间戳)。 - 卸载记录可能不直接显示,但`InstallDate`可推断安装时间。 4. **导出注册表项**(备份): - 右键点击“Uninstall”键,选择“导出”,保存为.reg文件。**不要随意修改键值,以免损坏系统**[^1]。 #### 方法3: 使用PowerShell命令 PowerShell可以快速查询已安装软件列表,并导出为可格式。 1. **打开PowerShell**: - 在搜索栏输入“PowerShell”,以管理员身份运行。 2. **运行查询命令**: - 输入以下命令获取所有安装记录: ```powershell Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, Publisher, InstallDate | Format-Table -AutoSize ``` - 这列出软件名称、发布者和安装日期。 - 对于卸载记录Windows无直接日志,但可通过事件查看器结合(见方法1)。 3. **导出结果**: - 添加输出到文件: ```powershell Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Export-Csv -Path "C:\InstallHistory.csv" -NoTypeInformation ``` - 文件保存到`C:\InstallHistory.csv`,可用Excel打开。 #### 方法4: 使用第三方工具 如果内置工具不足,推荐以下免费工具: - **CCleaner**:扫描注册表和事件日志,提供图形化安装历史报告(下载:[官网](https://www.ccleaner.com/))。 - **Belarc Advisor**:生成详细系统报告,包括所有软件安装日期(下载:[官网](https://www.belarc.com/products_belarc_advisor))。 - **WinAudit**:实时监控安装/卸载操作,并保存日志(开源工具:[GitHub页面](https://github.com/win-audit/win-audit))。 这些工具自动聚合数据,但需从可信来源下载以避免恶意软件[^1]。 ### 注意事项 - **记录局限性**:Windows默认不记录所有卸载事件(如手动删除文件夹),且日志可能被覆盖(保留时间默认7天)。建议定期备份日志。 - **安全建议**:优先使用事件查看器或PowerShell,避免直接编辑注册表。如需完整历史,可启用审核策略(通过`gpedit.msc` → “计算机配置” → “Windows设置” → “安全设置” → “高级审核策略”)。 - **系统兼容性**:以上方法适用于Windows 10/11;Windows 7类似,但部分事件ID可能不同。 通过以上方法,您可以有效追踪软件变更。如果问题未解决,请提供更多细节(如Windows版本)[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值