Microsoft Windows 终端(通过 Microsoft Store 安装)创建 0 字节wt.exe
文件是一个Windows 执行别名 https://www.tiraniddo.dev/2019/09/overview-of-windows-execution-aliases.html。 AFAIK 它类似于符号链接,除了它似乎在CreateProcess
API 级别,而不是在文件系统中转换的符号链接。
在 powershell 中:
❯ dir ~\AppData\Local\Microsoft\WindowsApps\wt.exe
Mode Name
---- ----
la--- wt.exe -> C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.0.1401.0_x64__8wekyb3d8bbwe\WindowsTerminal.exe
❯ Get-Item .\wt.exe | fl
Name : wt.exe
Length : 0
LinkType : AppExeCLink
Target : C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.0.1401.0_x64__8wekyb3d8bbwe\WindowsTerminal.exe
我无法找到这些“新”别名的正确文档。甚至谷歌PSAppExeCLink
值不是很有用。
我需要一种快速方法来解析 C# 应用程序中的执行别名(获取目标文件)。鉴于我的要求,我更喜欢非托管(Win32 Api)方式,而不是添加对慢速 WMI 或外部 300kb nuget 包的引用。
Thanks!
我在我的项目中遇到了同样的问题系统工具库 https://github.com/JFLarvoire/SysToolsLib%22,这些新型链接令人窒息。该库用 C 语言编写,并使用 WIN32 API。
这是我到目前为止发现的:
-
在 Windows 中引入三年后,cmd.exe 和 PowerShell 5.1 仍然不知道 App Exec 链接,并将它们报告为 0 字节文件。
但 PowerShell Core 7 了解它们:
PS C:\Temp> dir $env:LOCALAPPDATA\Microsoft\WindowsApps | ?{$_.LinkType} | select Name,LinkType,Target
Name LinkType Target
---- -------- ------
GameBarElevatedFT_Alias.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.XboxGamingOverlay_5.420.11102.0_x64__8w...
MicrosoftEdge.exe AppExeCLink C:\WINDOWS\system32\SystemUWPLauncher.exe
python.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w...
python3.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w...
ubuntu.exe AppExeCLink C:\Program Files\WindowsApps\CanonicalGroupLimited.UbuntuonWindows_2004.2020.8...
ubuntu1804.exe AppExeCLink C:\Program Files\WindowsApps\CanonicalGroupLimited.Ubuntu18.04onWindows_2020.1...
WinFR.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.WindowsFileRecovery_0.1.13492.0_x64__8w...
winget.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w...
wt.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3...
PS C:\Temp>
-
这些应用程序执行链接是 NTFS 重新分析点,标记为
IO_REPARSE_TAG_APPEXECLINK = 0x8000001b。
您可以使用 WIN32 API 在 C/C++/C# 程序中读取它们DeviceIoControl()
与FSCTL_GET_REPARSE_POINT
控制代码。
My 读链接.c https://github.com/JFLarvoire/SysToolsLib/blob/master/C/MsvcLibX/src/readlink.c模块包含一个ReadReparsePointW()
例行程序证明了这一点。
-
您可以通过运行以下命令转储此类链接的内容:
fsutil reparsepoint query <REPARSE_POINT_PATHNAME>
Ex:
C:\Temp>fsutil reparsepoint query "%LOCALAPPDATA%\Microsoft\WindowsApps\wt.exe"
Reparse Tag Value : 0x8000001b
Tag value: Microsoft
Reparse Data Length: 0x168
Reparse Data:
0000: 03 00 00 00 4d 00 69 00 63 00 72 00 6f 00 73 00 ....M.i.c.r.o.s.
0010: 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 64 00 o.f.t...W.i.n.d.
0020: 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 69 00 o.w.s.T.e.r.m.i.
0030: 6e 00 61 00 6c 00 5f 00 38 00 77 00 65 00 6b 00 n.a.l._.8.w.e.k.
0040: 79 00 62 00 33 00 64 00 38 00 62 00 62 00 77 00 y.b.3.d.8.b.b.w.
0050: 65 00 00 00 4d 00 69 00 63 00 72 00 6f 00 73 00 e...M.i.c.r.o.s.
0060: 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 64 00 o.f.t...W.i.n.d.
0070: 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 69 00 o.w.s.T.e.r.m.i.
0080: 6e 00 61 00 6c 00 5f 00 38 00 77 00 65 00 6b 00 n.a.l._.8.w.e.k.
0090: 79 00 62 00 33 00 64 00 38 00 62 00 62 00 77 00 y.b.3.d.8.b.b.w.
00a0: 65 00 21 00 41 00 70 00 70 00 00 00 43 00 3a 00 e.!.A.p.p...C.:.
00b0: 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 \.P.r.o.g.r.a.m.
00c0: 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 .F.i.l.e.s.\.W.
00d0: 69 00 6e 00 64 00 6f 00 77 00 73 00 41 00 70 00 i.n.d.o.w.s.A.p.
00e0: 70 00 73 00 5c 00 4d 00 69 00 63 00 72 00 6f 00 p.s.\.M.i.c.r.o.
00f0: 73 00 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 s.o.f.t...W.i.n.
0100: 64 00 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 d.o.w.s.T.e.r.m.
0110: 69 00 6e 00 61 00 6c 00 5f 00 31 00 2e 00 34 00 i.n.a.l._.1...4.
0120: 2e 00 33 00 32 00 34 00 33 00 2e 00 30 00 5f 00 ..3.2.4.3...0._.
0130: 78 00 36 00 34 00 5f 00 5f 00 38 00 77 00 65 00 x.6.4._._.8.w.e.
0140: 6b 00 79 00 62 00 33 00 64 00 38 00 62 00 62 00 k.y.b.3.d.8.b.b.
0150: 77 00 65 00 5c 00 77 00 74 00 2e 00 65 00 78 00 w.e.\.w.t...e.x.
0160: 65 00 00 00 30 00 00 00 e...0...
C:\Temp>
-
重新解析数据有一个包含四个宽字符串的结构,如下所示:
typedef struct _REPARSE_APPEXECLINK_READ_BUFFER { // For tag IO_REPARSE_TAG_APPEXECLINK
DWORD ReparseTag;
WORD ReparseDataLength;
WORD Reserved;
ULONG Version; // Currently version 3
WCHAR StringList[1]; // Multistring (Consecutive UTF-16 strings each ending with a NUL)
/* There are normally 4 strings here. Ex:
Package ID: L"Microsoft.WindowsTerminal_8wekyb3d8bbwe"
Entry Point: L"Microsoft.WindowsTerminal_8wekyb3d8bbwe!App"
Executable: L"C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3d8bbwe\wt.exe"
Applic. Type: L"0" // Integer as ASCII. "0" = Desktop bridge application; Else sandboxed UWP application
*/
} APPEXECLINK_READ_BUFFER, *PAPPEXECLINK_READ_BUFFER;
-
正在运行 wt.exe 的 App Exec Link 目标...
"C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3d8bbwe\wt.exe"
...工作,并启动 Windows 终端。
但是运行 MicrosoftEdge.exe 的 App Exec Link 目标...
"C:\WINDOWS\system32\SystemUWPLauncher.exe"
... 什么也没做。
⇒ 重解析数据中的其他参数在某种程度上也很重要。 (但我不知道如何使用它们。)
-
Running
"%LOCALAPPDATA%\Microsoft\WindowsApps\MicrosoftEdge.exe"
然后在任务管理器中查看,我发现 MS Edge 运行的真正可执行文件是
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
⇒ 这证明App Exec Link目标程序并不总是真实的程序。
-
可以使用重解析数据中的入口点字符串而不是目标路径名来启动目标应用程序,方法是:
explorer.exe shell:appsFolder\<REPARSE_POINT_ENTRY_POINT_NAME>
例如,这将启动 Microsoft Edge:
explorer.exe shell:appsFolder\Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge
但这不是我想要的。我真的很想找到如何使用目标应用程序路径名和其他两个参数启动应用程序。
不管怎样,我已经更新了我的 readlink() 例程MsvcLibX 库 https://github.com/JFLarvoire/SysToolsLib/tree/master/C/MsvcLibX返回 App Exec Links 的目标。
我的所有工具系统工具库 https://github.com/JFLarvoire/SysToolsLib%22可以处理符号链接的现在显示该目标。
但由于这个目标显然不是完整的答案,我认为当前版本充其量只是一个临时实现。
如果有人找到有关此主题的更多信息,我非常感兴趣!
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)