在Windows 10上,当我们创建一个名为 main.exe 的程序或将一个程序重命名为 main.exe 时,程序会弹出一个窗口,如下图所示:
有两种不同的弹出窗口:
- 游戏栏(法语和英语版本):
- 截屏:
(英文:按 Win + Alt + PrintScreen 进行屏幕截图)
我最初是在使用 Python 和 cx_freeze 时发现这个问题的,
我已经测试了多个程序,包括(如上所示)将 Notepad++.exe 重命名为 main.exe,并且每次都有一个弹出窗口,
我们还可以注意到弹出窗口会交替出现(一个游戏弹出窗口,然后是一个截屏弹出窗口,接着又是一个游戏弹出窗口...),
我在虚拟机中运行了 Windows 10,但正如下面所述,这个问题也发生在物理机器上。
对于这个问题,你有什么想法吗?
注意: BoltClock也进行了测试(在物理机上),他发现,在他的计算机上,只有"Main.exe"存在这种行为,而在我的计算机上,无论"main"的大小写分布如何(例如:它可以使用main.exe,Main.exe或者甚至是MaIN.exe),这种行为都会发生。
main.exe。BroadcastDVR的组件(位于twinui dll中),在进程创建时,它会将可执行文件属性与游戏的“存储”进行比较,并在匹配时启动GameLauncher.exe。explorer.exe对以下文件C:\Users\YOUR_USERNAME\AppData\Local\Microsoft\GamesDVR\KnownGameList.bin(C:\Windows\broadcastdvr中有一份副本)有一个句柄,其中列出了所有触发XBox录制弹出窗口的特殊可执行文件。你可以在这里看到main.exe条目(第1007条)。
我已经编写了一个010模板文件来解析条目列表,在我的电脑上有2089个条目。从反转二进制文件所见,有三种类型的条目:
“简单”条目,只匹配可执行文件名。
例如:main.exe或ai.exe
更复杂的条目,需要在可执行文件名和存储exe的路径中包含一些字符串才能匹配。
例如:acu.exe必须位于刺客信条:团结的子文件夹中。
NB:Win32子系统不区分大小写,因此可执行文件名的大小写不重要。
这是模板(您可以从这里安装010 Editor,我想有一个评估期):
typedef struct {
BYTE Reserved[0x300];
}HEADER;
typedef struct {
WORD ByteLen;
BYTE RawString[ByteLen];
//local string sName=ReadWString(RawString);
} GAME_WSTR <read=ReadGame>;
typedef struct {
DWORD Reserved;
DWORD ByteLen;
BYTE RawString[ByteLen] <fgcolor=cLtRed>;
} OPTION_STR <read=ReadOption>;
typedef struct {
local int StartAddr = FTell();
DWORD EntrySize;
// Executable game name
GAME_WSTR GameName <fgcolor=cLtBlue>;
// Optional magic
if (ReadUShort() == 0xca54)
WORD OptReserved;
// Optional structs based on switch values
WORD AdditionalNamesCount;
WORD SwitchOption2;
// Additional names (probably like a hint).
local int i =0;
for (i = 0; i < AdditionalNamesCount; i++){
OPTION_STR Option;
if (ReadUShort() == 0xca54)
WORD OptReserved;
}
// Look for a magic
local int Find20h = 0;
while(!Find20h){
Find20h = (0x20 == ReadByte());
BYTE Res;
}
GAME_WSTR GameId;
WORD Reserved;
// Sometimes there is an additionnal name
// sometimes not. I check the current entry
// is at less than the EntrySize declared.
if (FTell()-StartAddr < EntrySize)
{
switch (SwitchOption2)
{
case 3:
OPTION_STR Option3;
break;
case 2:
OPTION_STR Option2;
case 1:
break;
}
}
} ENTRY <read=ReadGameName>;
string ReadOption(OPTION_STR &Game)
{
local wstring GameName = L"";
local int i ;
for (i= 0; 2*i < Game.ByteLen; i++){
WStrcat(GameName, Game.RawString[2*i]);
}
return WStringToString(GameName);
}
string ReadGame(GAME_WSTR &Game)
{
local wstring GameName = L"";
local int i ;
for (i= 0; 2*i < Game.ByteLen; i++){
WStrcat(GameName, Game.RawString[2*i]);
}
return WStringToString(GameName);
}
string ReadGameName(ENTRY &Entry)
{
local string GameName = ReadGame(Entry.GameName);
local string OptionGameName = "";
if (Entry.AdditionalNamesCount)
OptionGameName = " : "+ReadOption(Entry.Option);
return GameName + OptionGameName;
}
//------------------------------------------
LittleEndian();
Printf("Parse KnownGameList.bin Begin.\n");
HEADER UnkwownHeader <bgcolor=cLtGray>;
while(1)
{
ENTRY Entry <bgcolor=cLtPurple>;
//Printf("Entry : %s -> %d.\n",ReadGameName(Entry) ,Entry.AdditionalNamesCount);
}
Printf("Parse KnownGameList.bin End.\n");
ShowStartup注册表键设置为0来全局禁用它。它位于HKEY_CURRENT_USER\Software\Microsoft\GameBar中。twinui中的机器代码即可实现。HKEY_LOCAL_MACHINE\Software\Microsoft\GameOverlay中,需要管理员级别才能写入,因此在这里没有UAC或完整性级别绕过可能。