先来看看windows的状态
Windows待机、休眠、睡眠
Windows操作系统中很早就加入了待机、休眠等模式。Windows Vista后才新加入了睡眠模式。充分利用这些模式,不仅可以节约电耗,还可以用尽可能短的时间,把系统恢复到正常工作状态。
待机(Standby)
操作系统被切换到待机模式后,电脑只有内存依靠电力维持着其中的数据,因为内存只要断电,数据就没有了,其他设备的供电都被中断。待机模式并非完全不耗电,在待机状态下,如果停电那么待机前未保存的数据都会丢失,只能重新开机。待机模式的恢复速度是最快的,一般五秒之内就可以恢复。
休眠(Hibernate)
将系统切换到休眠模式后,操作系统会将内存中的数据,全部转存到硬盘上一个休眠文件中,然后切断对所有设备的供电。这样当恢复的时候,系统会从硬盘上将休眠文件的内容直接读入内存,并恢复到休眠之前的状态。这种模式完全不耗电,不怕休眠后停电,但代价是需要一块和物理内存一样大小的硬盘空间。休眠模式的恢复速度较慢,它取决于内存大小和硬盘速度,一般都要1分钟左右,甚至更久。
睡眠(Sleep)
是Windows Vista后新加的模式,睡眠模式结合了待机模式和休眠模式所有优点。将系统切换到睡眠状态后,系统会将内存中的数据全部转存到硬盘上的休眠文件中,然后关闭除了内存外所有设备的供电,让内存中的数据依然维持着。当我们想要恢复的时候,如果在睡眠过程中供电没有发生过异常,就可以直接从内存中的数据恢复,速度快;但如果睡眠过程中供电异常,内存中的数据已经丢失了,还可以从硬盘上恢复,只是速度会慢一点。不过无论如何,这种模式都不会导致数据丢失。
正因为睡眠功能有优点,因此Windows Vista后开始菜单上的电源按钮,默认就会将系统切换到睡眠模式。所以我们大可充分利用这一新功能,毕竟从睡眠状态下恢复,速度要比从头启动快很多。而且睡眠模式也不是一直进行下去的,如果系统进入睡眠模式一段时间后,具体时间可以设定,没有被唤醒,那么还会自动被转入休眠状态,并关闭对内存的供电,进一步节约能耗。
Windows10电脑锁屏后程序是怎么运行的?
大多数win10系统用户都希望在电脑锁屏后,能让一些正在工作的程序(如听歌,杀毒等)继续保持正常运行。锁屏后,过一段时间操作系统进入休眠状态,操作系统休眠了,cpu是不工作的,那么线程也就停了。笔记本电脑合上盖子,默认的状态就是睡眠或休眠状态。不过,用户可以根据自己的需求对其修改,比如改成“关机”或者“不采取任何操作”。但是这类动手能力强的用户,毕竟是很少的。
在用户锁屏电脑系统后,再来解锁系统时,系统会先打开操作系统的电脑登录界面。这里的登录界面是system用户的。用vnc远程的进程如果不是服务程序,而是用户进程的话,它是没有权限捕获屏幕界面的,这时函数WTSQueryUserToken返回1314,导致vnc 的server程序被迫出错,而使得远程被中断。解决的办法是提升进程的权限,把vnc进程设置为服务进程。
windbg学习.ecxr
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。
比方说:add eax,-2 ; //可以认为是给变量eax加上-2这样的一个值。
这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。
EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。
EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。
ECX 是计数器(counter), 是重复(REP)前缀指令和LOOP指令的内定计数器。
EDX 则总是被用来放整数除法产生的余数。
ESI/EDI分别叫做"源/目标索引寄存器"(source/destination index),因为在很多字符串操作指令中, DS:ESI指向源串,而ES:EDI指向目标串.
EBP是"基址指针"(BASE POINTER), 它最经常被用作高级语言函数调用的"框架指针"(frame pointer). 在破解的时候,经常可以看见一个标准的函数起始代码:
push ebp ;保存当前ebp
mov ebp,esp ;EBP设为当前堆栈指针
sub esp, xxx ;预留xxx字节给函数临时变量.
...
这样一来,EBP 构成了该函数的一个框架, 在EBP上方分别是原来的EBP, 返回地址和参数. EBP下方则是临时变量. 函数返回时作 mov esp,ebp/pop ebp/ret 即可.
ESP 专门用作堆栈指针,被形象地称为栈顶指针,堆栈的顶部是地址小的区域,压入堆栈的数据越多,ESP也就越来越小。在32位平台上,ESP每次减少4字节。
windbg学习----.ecxr
.ecxr 命令定位当前异常的上下文信息,并显示指定记录中的重要寄存器
如下:
0:000> .ecxr
eax=10000000 ebx=7ffd9000 ecx=77386500 edx=00260174 esi=00000000 edi=00000000
eip=0040101d esp=0012ff48 ebp=0012ff88 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246
*** WARNING: Unable to verify checksum for test.exe
*** ERROR: Module load completed but symbols could not be loaded for test.exe
test+0x101d:
0040101d c7050000000064000000 mov dword ptr ds:[0],64h ds:0023:00000000=????????
WTSQueryUserToken返回1314
The WTSQueryUserToken function obtains the primary access token of the logged-on user specified by the session ID. To call this function successfully, the calling application must be running within the context of theLocalSystem account and have the SE_TCB_NAME privilege.
MSDN明确指出调用该函数必须使用LocalSystem账户,并且拥有SE_TCB_NAME权限。
普通用户或者LocalService的服务,调用均会返回1314。
在创建服务时,指定参数为NULL,即使用默认的LocalSystem账户。
A required privilege is not held by the client