c# - 如何在 C#/Win32 api 中找到 Windows 应用程序执行别名的目标?
问题描述
Microsft Windows 终端(通过 Microsoft Store 安装)创建一个 0 字节wt.exe文件,它是Windows 执行别名。AFAIK 它类似于符号链接,除了它似乎是在CreateProcessApi 级别解决的,而不是在文件系统中翻译的符号链接。
在 powershell 中:
❯ dir ~\AppData\Local\Microsoft\WindowsApps\wt.exe
Mode Name
---- ----
la--- wt.exe -> C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.0.1401.0_x64__8wekyb3d8bbwe\WindowsTerminal.exe
❯ Get-Item .\wt.exe | fl
Name : wt.exe
Length : 0
LinkType : AppExeCLink
Target : C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.0.1401.0_x64__8wekyb3d8bbwe\WindowsTerminal.exe
我无法为这些“新”类型的别名找到适当的文档。即使谷歌搜索 PSAppExeCLink值也不是很有用。
我需要一种快速的方法来解决 C# 应用程序中的执行别名(获取目标文件)。鉴于我的要求,与添加对慢速 WMI 或外部 300kb nuget 包的引用相比,我更喜欢非托管 (Win32 Api) 方式。
谢谢!
解决方案
我在我的系统工具库中遇到了同样的问题,它被这些新型链接阻塞了。这个库是用 C 编写的,并使用 WIN32 API。
这是我到目前为止发现的:
在 Windows 中引入它们三年后,cmd.exe 和 PowerShell 5.1 仍然不知道 App Exec Links,并将它们报告为 0 字节文件。
但是 PowerShell Core 7 知道它们:
PS C:\Temp> dir $env:LOCALAPPDATA\Microsoft\WindowsApps | ?{$_.LinkType} | select Name,LinkType,Target Name LinkType Target ---- -------- ------ GameBarElevatedFT_Alias.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.XboxGamingOverlay_5.420.11102.0_x64__8w... MicrosoftEdge.exe AppExeCLink C:\WINDOWS\system32\SystemUWPLauncher.exe python.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w... python3.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w... ubuntu.exe AppExeCLink C:\Program Files\WindowsApps\CanonicalGroupLimited.UbuntuonWindows_2004.2020.8... ubuntu1804.exe AppExeCLink C:\Program Files\WindowsApps\CanonicalGroupLimited.Ubuntu18.04onWindows_2020.1... WinFR.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.WindowsFileRecovery_0.1.13492.0_x64__8w... winget.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_1.11.3162.0_x64__8w... wt.exe AppExeCLink C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3... PS C:\Temp>这些 App Exec 链接是 NTFS 重解析点,标记为
IO_REPARSE_TAG_APPEXECLINK = 0x8000001b。DeviceIoControl()您可以使用带有FSCTL_GET_REPARSE_POINT控制代码的 WIN32 API 在 C/C++/C# 程序中读取它们 。我的readlink.c模块包含一个
ReadReparsePointW()演示这个的例程。您可以通过运行以下命令转储此类链接的内容:
fsutil reparsepoint query <REPARSE_POINT_PATHNAME>前任:
C:\Temp>fsutil reparsepoint query "%LOCALAPPDATA%\Microsoft\WindowsApps\wt.exe" Reparse Tag Value : 0x8000001b Tag value: Microsoft Reparse Data Length: 0x168 Reparse Data: 0000: 03 00 00 00 4d 00 69 00 63 00 72 00 6f 00 73 00 ....M.i.c.r.o.s. 0010: 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 64 00 o.f.t...W.i.n.d. 0020: 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 69 00 o.w.s.T.e.r.m.i. 0030: 6e 00 61 00 6c 00 5f 00 38 00 77 00 65 00 6b 00 n.a.l._.8.w.e.k. 0040: 79 00 62 00 33 00 64 00 38 00 62 00 62 00 77 00 y.b.3.d.8.b.b.w. 0050: 65 00 00 00 4d 00 69 00 63 00 72 00 6f 00 73 00 e...M.i.c.r.o.s. 0060: 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 64 00 o.f.t...W.i.n.d. 0070: 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 69 00 o.w.s.T.e.r.m.i. 0080: 6e 00 61 00 6c 00 5f 00 38 00 77 00 65 00 6b 00 n.a.l._.8.w.e.k. 0090: 79 00 62 00 33 00 64 00 38 00 62 00 62 00 77 00 y.b.3.d.8.b.b.w. 00a0: 65 00 21 00 41 00 70 00 70 00 00 00 43 00 3a 00 e.!.A.p.p...C.:. 00b0: 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 \.P.r.o.g.r.a.m. 00c0: 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 .F.i.l.e.s.\.W. 00d0: 69 00 6e 00 64 00 6f 00 77 00 73 00 41 00 70 00 i.n.d.o.w.s.A.p. 00e0: 70 00 73 00 5c 00 4d 00 69 00 63 00 72 00 6f 00 p.s.\.M.i.c.r.o. 00f0: 73 00 6f 00 66 00 74 00 2e 00 57 00 69 00 6e 00 s.o.f.t...W.i.n. 0100: 64 00 6f 00 77 00 73 00 54 00 65 00 72 00 6d 00 d.o.w.s.T.e.r.m. 0110: 69 00 6e 00 61 00 6c 00 5f 00 31 00 2e 00 34 00 i.n.a.l._.1...4. 0120: 2e 00 33 00 32 00 34 00 33 00 2e 00 30 00 5f 00 ..3.2.4.3...0._. 0130: 78 00 36 00 34 00 5f 00 5f 00 38 00 77 00 65 00 x.6.4._._.8.w.e. 0140: 6b 00 79 00 62 00 33 00 64 00 38 00 62 00 62 00 k.y.b.3.d.8.b.b. 0150: 77 00 65 00 5c 00 77 00 74 00 2e 00 65 00 78 00 w.e.\.w.t...e.x. 0160: 65 00 00 00 30 00 00 00 e...0... C:\Temp>重新解析的数据有一个包含四个宽字符串的结构,如下所示:
typedef struct _REPARSE_APPEXECLINK_READ_BUFFER { // For tag IO_REPARSE_TAG_APPEXECLINK DWORD ReparseTag; WORD ReparseDataLength; WORD Reserved; ULONG Version; // Currently version 3 WCHAR StringList[1]; // Multistring (Consecutive UTF-16 strings each ending with a NUL) /* There are normally 4 strings here. Ex: Package ID: L"Microsoft.WindowsTerminal_8wekyb3d8bbwe" Entry Point: L"Microsoft.WindowsTerminal_8wekyb3d8bbwe!App" Executable: L"C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3d8bbwe\wt.exe" Applic. Type: L"0" // Integer as ASCII. "0" = Desktop bridge application; Else sandboxed UWP application */ } APPEXECLINK_READ_BUFFER, *PAPPEXECLINK_READ_BUFFER;运行 wt.exe 的 App Exec Link 目标...
"C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.4.3243.0_x64__8wekyb3d8bbwe\wt.exe"... 工作,并启动 Windows 终端。
但是运行 MicrosoftEdge.exe 的 App Exec Link 目标...
"C:\WINDOWS\system32\SystemUWPLauncher.exe"... 什么也没做。
⇒ 重解析数据中的其他参数在某种程度上很重要。(但我不知道如何使用它们。)
跑步
"%LOCALAPPDATA%\Microsoft\WindowsApps\MicrosoftEdge.exe"然后查看任务管理器,我看到为 MS Edge 运行的真正可执行文件是
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"⇒ 这证明了 App Exec Link 目标程序并不总是真正的程序。
可以使用重新解析数据中的入口点字符串而不是目标路径名来启动目标应用程序,使用:
explorer.exe shell:appsFolder\<REPARSE_POINT_ENTRY_POINT_NAME>例如,这将启动 Microsoft Edge:
explorer.exe shell:appsFolder\Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge但这不是我想要的。我真的很想知道如何使用目标应用程序路径名和其他两个参数来启动应用程序。
无论如何,我已经更新了我的MsvcLibX 库中的 readlink() 例程以返回 App Exec Links 的目标。我的系统工具库中所有可以处理符号链接的工具现在都显示了该目标。
但由于这个目标显然不是完整的答案,我认为这个当前版本充其量只是一个临时实现。
如果有人找到有关此主题的更多信息,我很感兴趣!
推荐阅读
- regex - 使用 Regex 和 VBA 提取方括号之间的数据
- python - 如何使用 optimize.minimize() 编码剂量反应 (4PL) 曲线拟合
- git - 即使目录不为空,此路径也会跳过空目录
- android - Android Studio 在格式化时更改组件的顺序
- sql - SQLSTATE [23000]:违反完整性约束:1048 列“标题”不能为空
- python - 使用 datetime.strptime 时如何提供默认时间?
- react-native - source.uri 不应为空字符串
- powerbuilder - 为什么 filemove() 不能使用相对目录
- node.js - 基于用户位置的登录表单
- sql - 分组求和