- Guide to Windows
- 从对象组件观察:
- 用户模式(进程 + 子系统) ↔ 内核模式(执行体 + 内核 + 驱动 + HAL) ↔ 硬件。
- 用户模式:运行应用程序、服务以及各种子系统进程,不能直接访问硬件,必须通过内核提供的接口(系统调用)来请求资源。
- 进程:进程是正在运行的程序(安装在电脑上的软件)在内存中的活动实例。
- 服务:服务是一种特殊类型的程序,它在后台运行,没有用户界面,通常不需要用户交互。即使你没有登录电脑,服务也能运行。服务通常负责完成系统的核心功能,比如网络连接、打印、自动更新等。
- 系统服务:由Windows自带,保证系统核心功能,如Windows Update、Windows Defender等
- 第三方服务:由安装的软件添加,如杀毒软件、打印机驱动等服务
- 任务:任务是指计划让计算机在特定时间或特定条件下自动执行的操作。Windows的"任务计划程序"允许你设置这些自动化任务,无需人工干预。
- 计划任务:预先设置好的,会按计划重复执行的任务,如每天自动备份文件
- 临时任务:一次性执行的任务,完成后不再重复
- 任务的执行条件与触发器
- 时间触发:特定时间点、每天固定时间、每周特定日期等
- 事件触发:系统启动、用户登录、插入U盘等特定事件发生时
- 空闲触发:系统检测到电脑空闲一段时间后执行
- 内核模式:执行体(Executive):包含对象管理器、进程/线程管理、虚拟内存管理、I/O 管理器、安全引用监控、即插即用/电源管理等模块,向上提供系统服务。
- 内核(Kernel):负责线程调度、多处理器同步、中断/异常处理等核心调度。
- 驱动程序:包括文件系统驱动、网络驱动、磁盘驱动、显卡驱动等,负责具体设备与 I/O 栈。
- 硬件抽象层(HAL):将不同平台的硬件差异抽象掉,让上层内核和驱动尽量与平台无关。
- 内置管理工具主要包括:
- MMC 管理单元(.msc):注册表、服务、组策略、磁盘管理、事件查看器等;
- 管理工具 EXE:任务管理器、性能监视器、资源监视器、系统配置等;
- 高级系统工具:系统属性各标签页、netplwiz 等。
- 一些控制面板/设置里的“高级系统工具”
- 说明:不同版本/版本(Home/Pro/Enterprise)工具会有差异;域环境还会多出很多“远程服务器管理工具”。
- 常见 MMC 管理单元(.msc)清单
- 这些是“典型桌面/客户端版本”里常见的 .msc 文件:
- .msc 文件 中文名称 主要用途
- compmgmt.msc 计算机管理 集成事件查看器、任务计划程序、共享文件夹、本地用户和组、性能监视器、设备管理器、磁盘管理、服务等
- devmgmt.msc 设备管理器 管理硬件设备、驱动程序
- diskmgmt.msc 磁盘管理 分区、格式化、卷管理
- services.msc 服务 管理系统服务的启停、启动类型
- taskschd.msc 任务计划程序 管理计划任务
- eventvwr.msc 事件查看器 查看系统/应用/安全日志
- gpedit.msc 本地组策略编辑器 配置本地组策略(Pro/Enterprise 有)
- secpol.msc 本地安全策略 账户策略、审核策略、用户权限分配等
- lusrmgr.msc 本地用户和组 管理本地用户和组
- perfmon.msc 性能监视器 收集和查看性能计数器
- wf.msc Windows Defender 防火墙高级安全 管理防火墙规则、连接安全规则
- printmanagement.msc 打印管理 管理打印服务器和打印机
- tpm.msc TPM 管理 管理 TPM 安全芯片
- wmimgmt.msc WMI 控制 配置和诊断 WMI 服务
- fsmgmt.msc 共享文件夹 查看共享、会话、打开文件
- rsop.msc 策略结果集 查看实际生效的组策略结果
- certmgr.msc 证书(当前用户) 管理用户证书
- certlm.msc 证书(本地计算机) 管理计算机证书
- azman.msc 授权管理器 管理授权存储和角色定义
- comexp.msc 组件服务 管理 COM+ 应用、事件查看器和服务
- 在 Windows Server 里还有大量域相关的 .msc,如 dsa.msc(AD 用户和计算机)、dnsmgmt.msc(DNS)、dhcpmgmt.msc(DHCP)等。
- “Windows 工具 / 管理工具”中的常见程序清单
- 设置 (Settings) 设置应用 新版统一配置界面,很多控制面板功能迁移到这里
- 控制面板 (Control Panel) 控制面板 control 传统设置界面,包含大量小工具
- 任务管理器 (Task Manager) 任务管理器 查看进程、性能、启动项、用户、服务等
- 资源管理器 explorer
- 注册表编辑器 (Registry Editor) 注册表编辑器 regedit,查看和修改注册表
- 注册表
- 一个核心数据库,它储存了系统和应用程序的各种设置、选项和配置信息。从你的桌面壁纸到最近打开的文件列表,从已安装软件的位置到硬件驱动的配置,几乎所有Windows的设置都记录在这个数据库中。
- 注册表的基本结构
- 注册表大概的格式就是由 键 和 值项 组成。键就是那些分支的文件夹,而值项由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。
- 键(Keys):类似于文件夹,用于组织和分类信息
- 子键(Subkeys):键下面的分支,也是键
- 值项(Values):存储在键中的具体数据,相当于文件
- 数据类型:值项中数据的格式,如字符串、数字等
- 字符串值(REG_SZ):包含固定长度的文本,如程序名称、文件路径等。
- 二进制值(REG_BINARY):以原始二进制格式存储的数据,通常用于硬件组件信息。
- DWORD值(REG_DWORD):一个32位数字,常用于开关选项(0表示关闭,1表示开启)或其他需要数值的设置。
- QWORD值(REG_QWORD):一个64位数字,类似DWORD但可以表示更大的数值。
- 多字符串值(REG_MULTI_SZ):包含多行文本,每行作为单独的字符串。
- 可扩充字符串值(REG_EXPAND_SZ):包含环境变量的文本,如"%SYSTEMROOT%\system32",系统会将其展开为实际路径。
- 注册表的根键(Root Keys)
- HKEY_CURRENT_USER (HKCU):存储当前登录用户的个人设置,如桌面背景、应用程序首选项等。
- HKEY_LOCAL_MACHINE (HKLM):存储适用于所有用户的计算机硬件和软件设置。这些设置对所有使用这台电脑的人都有效。
- HKEY_CLASSES_ROOT (HKCR):包含确定当你双击文件时会发生什么的信息。例如,当你双击.docx文件时,系统知道应该用Word打开它,这就是由HKCR中的信息决定的。
- HKEY_USERS (HKU):包含所有用户配置文件的设置。HKEY_CURRENT_USER实际上是HKEY_USERS下对应当前用户的那部分的快捷方式。
- HKEY_CURRENT_CONFIG (HKCC):包含有关当前硬件配置的信息。
- 本地组策略编辑器 (Local Group Policy Editor) 本地组策略编辑器 gpedit.msc(Pro/Enterprise)
- 组策略
- 一组用来管理计算机和用户配置的规则。集中化管理工具,让管理员能够控制用户的工作环境和计算机的配置。通过组策略,你可以控制用户能做什么、不能做什么,以及电脑应该如何运行。
- 组策略是一个友好的前端界面,让管理员可以通过可视化方式管理设置,注册表是后台存储,真正保存这些设置的地方。
- 组策略在不同Windows版本中的差异
- 家庭版:只支持有限的组策略功能,甚至不提供组策略编辑器
- 专业版:支持本地组策略,可以通过组策略编辑器进行管理
- 企业版/教育版:提供最完整的组策略支持
- 服务器版本:提供全面的组策略支持,并可作为域控制器管理网络中的其他计算机
- 组策略的组成结构
- 组策略对象(GPO):(Group Policy Object,简称GPO)是组策略的核心单元。每个GPO包含一系列的设置和配置,用于控制计算机和用户的行为。主要分为两大类设置:计算机配置、用户配置
- Windows PowerShell / PowerShell ISE PowerShell 命令行脚本环境
Get-ChildItem (别名:dir, ls) (显示磁盘目录)Test-Connection (返回对象,更详细) 或 Test-NetConnection (功能更全) (测试网络连接)Get-NetTCPConnection (查看TCP连接) (显示网络连接/端口)Get-NetRoute (路由表), Get-NetAdapter (网卡信息)Get-NetIPConfiguration (查看IP配置)Get-NetIPAddress (查看详细IP地址)Test-NetConnection -TraceRoute (包含跟踪路由功能)Get-NetNeighbor (查看ARP缓存表)Get-NetRoute (查看), New-NetRoute (添加), Remove-NetRoute (删除) (路由表管理)New-Item -ItemType Directory (别名:md) (建立子目录)Remove-Item (别名:rd, rmdir) (删除子目录)$env:Path (查看或修改环境变量路径) (路径设置)- Tree (显示目录结构)
Remove-Item (别名:del, erase, ri)(删除文件/目录)Get-Volume (获取磁盘卷信息)Copy-Item (别名:copy, cp) (文件复制)Copy-Item -Recurse (递归复制)robocopy (在 PS 中更推荐使用)Get-Content (别名:type, cat) (显示文件内容)Rename-Item (别名:ren, rni) (重命名文件)- Attrib (修改文件属性)
- 对对应方式:无直接单一 Cmdlet,通常通过操作文件对象属性实现。
- 示例:
(Get-Item "文件名").Attributes = 'ReadOnly' 或 Hidden
Get-ComputerInfo (查看系统信息) (查看内存)
- 补充:
Get-Process (查看进程内存), Get-CimInstance Win32_OperatingSystem (详细内存)
Write-Output (别名:echo) (显示消息)Start-Process (功能非常强大) (启动程序)- mklink (创建软连接)
- 对应 Cmdlet:
New-Item -ItemType SymbolicLink (创建符号链接)
- 示例:
New-Item -Path "链接名" -ItemType SymbolicLink -Value "目标路径"
- 命令提示符 (Command Prompt) 命令提示符 cmd.exe
- 系统配置 (System Configuration) 系统配置 msconfig,管理启动选项、服务、启动项等
- 系统信息 (System Information) 系统信息 msinfo32,查看硬件、驱动、系统组件概览
- 资源监视器 (Resource Monitor) 资源监视器 resmon,按 CPU/内存/磁盘/网络查看资源占用
- 磁盘清理 (Disk Cleanup) 磁盘清理 cleanmgr,清理临时文件等
- 碎片整理和优化驱动器 (Defragment and Optimize Drives) 碎片整理/优化驱动器 优化 SSD/磁盘碎片整理
- Windows 内存诊断 (Windows Memory Diagnostic) 内存诊断 启动时检测内存问题
- 远程桌面连接 (Remote Desktop Connection) 远程桌面连接 mstsc,远程连接其他 Windows 主机
- 步骤记录器 (Steps Recorder) 步骤记录器 记录操作步骤,用于故障重现
- ODBC 数据源 (ODBC Data Sources) ODBC 数据源 odbcad32,管理 ODBC 数据源
- iSCSI Initiator iSCSI 发起程序 连接 iSCSI 存储目标
- 一些“高级系统工具”补充
- 工具 运行命令 用途
- 系统属性 – 高级 SystemPropertiesAdvanced 环境变量、启动和恢复设置、性能选项等
- 系统属性 – 计算机名 SystemPropertiesComputerName 修改计算机名/工作组
- 系统属性 – 硬件 SystemPropertiesHardware 硬件配置文件、驱动签名设置
- 系统属性 – 远程 SystemPropertiesRemote 远程桌面、远程协助设置
- 用户账户管理(高级) netplwiz 或 control userpasswords2 管理本地用户、自动登录设置
- 系统程序
- Appwiz.cpl 打开控制面版里添加删除程序
- write 写字板
- wiaacmgr 扫描仪和照相机向导
- mspaint 画图板
- magnify 放大镜实用程序
- mobsync 同步中心
- dxdiag 检查DirectX信息
- dfrg.msc 磁盘碎片整理程序
- dcomcnfg 打开系统组件服务
- ddeshare 打开DDE共享设置
- dvdplay DVD播放器
- notepad 打开记事本
- ntbackup 系统备份和还原
- narrator 屏幕“讲述人”
- netstat -an (TC)命令检查接口
- sysedit 系统配置编辑器
- sigverif 文件签名验证程序
- shrpubw 创建共享文件夹
- sfc.exe 系统文件检查器
- eudcedit 造字程序
- packager 对象包装程序
- regsvr32
- chkdsk 磁盘检查
- calc 启动计算器
- charmap 启动字符映射表
- ciadv.msc 索引服务程序
- osk 打开屏幕键盘
- logoff 注销命令
- iexpress 自解压自安装包,系统自带
- utilman 辅助工具管理器
- winver 检查Windows版本
- tasklist 列出当前运行的进程(含 PID、内存、会话等)
- taskkill 按进程 ID 或映象名终止进程
- sc 创建/查询/配置/删除服务
- schtasks 管理计划任务(创建、查询、删除、更改)
- systeminfo 显示详细的系统信息
- driverquery 列出已安装驱动程序及其详细信息
- powercfg 电源管理配置(电源方案、睡眠/休眠设置、报告等)
- hostname 显示当前计算机主机名
- whoami 显示当前用户、SID、所属组等信息
- gpresult 显示用户/计算机的组策略结果(RSoP)
- gpupdate 强制刷新组策略
- ipconfig 查看/释放/更新 IP 配置、DNS 缓存等
- ping 测试网络连通性(ICMP)
- tracert 跟踪到目标主机的路由路径
- pathping 结合 ping 和 tracert,显示路径上的丢包情况
- netstat 显示网络连接、路由表、接口统计等(netstat -an 常用)
- route 查看/修改本地路由表(route print、route add 等)
- arp 查看/修改 ARP 缓存(arp -a)
- netsh 网络配置的“瑞士军刀”(接口、防火墙、WinHTTP 等)
- nslookup DNS 查询诊断工具
- findstr 在文本中搜索字符串(类似 grep),常配合 tasklist 等
- cipher 加密/解密文件、显示 EFS 信息
- compact 压缩/解压文件(NTFS 压缩)
- convert 将 FAT/FAT32 卷转换为 NTFS
- dism 映像 servicing
- diskpart 磁盘分区/卷管理命令行
- diskperf 启用/禁用磁盘性能计数器
- vssadmin 卷影拷贝服务管理(创建/删除快照等)
- appwiz.cpl(添加/删除程序)
- odbccp32.cpl(ODBC 数据源)
- sysdm.cpl(系统属性)
- access.cpl 辅助功能选项(放大镜、屏幕键盘等)
- desk.cpl 显示属性(分辨率、主题、屏幕保护程序等)
- inetcpl.cpl Internet 属性(IE/Edge 的连接、安全等)
- intl.cpl 区域(语言、日期时间格式等)
- mmsys.cpl 声音和多媒体属性(声音、录音设备等)
- timedate.cpl 日期和时间(时区、Internet 时间)
- 从文件目录观察
- C:
- \Users
- \Named
- \AppData,比较特殊,即使将软件的缓存目录设置在其他盘中,软件依然会在C盘生成大量数据。
- locallow:共享数据存放文件,一般都可以清理一些无用的共享文件。
- Local:本地保存文件,其中本地临时文件,
- Roaming:保存应用程序运行后的数据信息,如果删除应用程序运行配置数据会丢失。
- \Default
- \Public
- \ProgramData:是一个隐藏文件夹,存储应用程序的共享数据。与Program Files不同,ProgramData存储的是程序运行时需要的数据,而非程序本身。例如,一个游戏的可执行文件会安装在Program Files中,而游戏存档、配置文件等可能会存储在ProgramData中。这样设计的好处是即使程序被卸载,数据仍可保留。
- \Windows:是整个操作系统的核心所在,包含了Windows运行所必需的文件。这个文件夹非常重要,随意删除或修改其中的文件可能导致系统崩溃。最大目录深度10。路径最大长度:260 个字符(MAX_PATH),包含盘符、冒号、反斜杠和最后的 \0。
- 启动与系统核心
- Boot:启动相关数据:包含 BCD(Boot Configuration Data)等启动文件
- System32:核心:包含大部分系统 DLL、驱动、可执行程序、控制台程序等。尽管名称中带有"32",但在64位系统中,这个文件夹实际上包含的是64位系统文件。
- drivers:内核驱动文件(
.sys)所在目录,系统启动时加载
- config:注册表配置单元:
SYSTEM、SOFTWARE、SAM、SECURITY 等注册表文件在这里
- AdvancedInstallers:CMI 配置管理 DLL 文件(CMI Configuration Management DLL files)。
- AppLocker:
- appmgmt:
- appraiser:评估数据文件(Appraiser data files)。
- BestPractices:Web 服务器 PowerShell 和架构(Webserver PowerShell and schema)。该目录常与 Best Practices Analyzer(BPA)模型相关,用于服务器角色/功能的最佳实践分析模型文件。
- Boot:Winload 程序和相关文件
- Bthprops:Bthprop 图像文件
- CatRoot:包含安全编录文件(.cat)(Contains Security Catalog files)。
- CatRoot2:包含编录日志(Contains catalog logs)。
- CodeIntegrity:包含启动编录缓存(bootcat cache)和驱动 stl 文件
- Com:包含组件服务系统文件(Contains Component Services system files)。
- compatrel:用途不明,在安全日志中多与更新/安装过程一起出现,疑似与兼容性相关临时/缓存目录。公开资料无明确功能说明,仅见于 FRST 等日志列表中。
- Configuration:配置文件(受保护)
- ContainerSettingsProviders:用于提供容器/沙箱环境配置的策略提供程序文件(如 PolicyManagerHvsiSettingProvider 等),是 Windows Defender Application Guard / 容器相关配置提供程序的目录。
- DDFs:数字文档归档 XML 文件(Digital Document Filing system XML files)。
- DiagSvcs:诊断中心库文件(Diagnostic Hub library files)。
- Dism:部署映像服务和管理库文件(Deployment Image Servicing and Management library files)。
- dolbyaposvc:杜比音频服务相关文件,包含 Dolby Atmos 音频组件(例如 DAX3API.exe),用于杜比音效/空间音效服务。
- downlevel:包含 API 库文件(Contains API library files)。
- DriverState:驱动状态文件(Driver state files)。
- DriverStore:包含驱动仓库元数据(驱动 loc 文件),是 Windows 驱动存储的一部分,系统在此保留所有已安装驱动的副本。
- DRVSTORE:包含第三方驱动文件(Contains third-party driver files)。
- dsc:包含 DSC 核心 DLL(Contains DSC core DLLs)。
- F12:包含各种诊断、F12 开发者工具以及其他库文件(Various diagnostic, F12 and other library files)。
- GroupPolicyUsers:
- Hydrogen:包含各种动画、特效和物理相关文件(Various Animation, Fx and Physics files)。
- ias:包含数据库文件(受保护)(Contains database files (protected))。
- icsxml:包含 XML 文件(Contains XML files)。
- IME:包含某些输入法编辑器 DLL(Contains some Input Method Editor DLLs)。
- inetsrv:包含 Internet Information Services (IIS) 文件(Contains Internet Information Services files)。
- InputMethod:包含 IME 程序和 DLL 文件(Contains IME program and DLL files)。
- Ipmi:
- Keywords:包含各种表数据文件(Various table data files)。
- Licenses:包含 Microsoft 软件许可协议(RTF 文件
- LogFiles:各种日志文件(Various log files)。
- Logs:各种日志文件
- lxss:包含 NVIDIA 库(.so)文件(NVIDIA library (.so) files),用于 Windows 上的 Linux 子系统(WSL)相关组件。
- Macromed:原表未明确列出,该目录通常用于 Flash 等旧式插件相关文件,属于历史遗留目录。
- MailContactsCalendarSync:包含用于邮件、联系人和日历同步的域文本文件(Text file of domains for Mail, contacts, calendar sync)。
- Microsoft:包含加密 RSA 和恢复数据文件(Contains crypto RSA and recovery data files)。
- migration:包含迁移 DLL 文件(Contains Migration DLL files)。
- migwiz:迁移向导程序和文件(Migration wizard program and files)。
- MRT:
- MSDRM:Microsoft 数字版权管理文件(Microsoft digital rights management files)。
- MsDtc:包含 Microsoft 分布式事务协调器的各种系统文件(Contains various system files for MS Distributed Transaction Co-ordinator)。
- MUI:包含 HTML 帮助的多语言用户界面系统文件(Contains system files for HTML help (multilingual user interface))。
- NDF:包含网络诊断事件日志(Contains event log (network diagnostics))。
- networklist:包含网络图标(受保护)(Network icons (protected))。
- Nui:包含人脸分析颜色文件(Contains Face Analysis Color file)。
- oobe:包含 Microsoft 开箱即用体验(OOBE)文件(Contains Microsoft Out of Box Experience files)。
- OpenSSH:包含安全外壳和 FTP 程序(Secure shell and FTP programs)。
- osa-Osge-001:
- PerceptionSimulation:感知模拟程序文件(Perception Simulation program files)。
- PointOfService:POS 协议提供程序库(POS protocol provider libraries)。
- Printing_Admin_Scripts:打印 VBS 脚本(Printing VBS scripts)。
- ProximityToast:
- ras:包含远程访问服务文件(Remote Access Service)。
- RasToast:
- Recovery:ReAgent XML 文件(ReAgent XML files)。
- restore:包含系统还原的 MachineGuid.txt 文件(Contains System Restore MachineGuid.txt file)。
- SecureBootUpdates:包含安全启动更新的 bin 文件(Update bin files for Secure Boot)。
- setup:包含各种安装 DLL 文件(Contains various setup DLL files)。
- ShellExperiences:Windows Shell 库文件(Windows Shell library files)。
- SleepStudy:睡眠研究文件(Sleep study files)。
- slmgr:包含系统授权 INI 文件(Contains system licensing INI files)。
- SMI:
- Speech:包含语音 DLL 文件(Contains speech DLL files)。
- Speech_OneCore:语音核心库文件(Speech onecore library files)。
- spool:包含打印机文件(Contains printer files)。
- spp:软件保护文件(Software Protection files)。
- sppui:国家/地区电话号码 INF 文件(Country phone numbers INF file)。
- sru:SRU 数据库文件(SRU database files)。
- Sysprep:系统准备程序和文件(System preparation program and files)。
- SystemResetPlatform:Windows 系统重置平台程序和文件(Windows system reset platform program and files)。
- Tasks:包含计划任务列表(受保护)(Contains list of Scheduled Tasks (protected))。
- UNP:更新通知程序文件(Update notification program files)。
- wbem:包含性能、日志、WMI 和基于 Web 的企业管理系统文件(Contains Performance, Logs, WMI and system files for Web Based Enterprise Management)。
- WCN:
- WDI:Windows 诊断文件和日志(Windows diagnostic files and logs)。
- WinBioDatabase:用于 Windows Hello 生物识别(指纹、人脸等)的数据库文件,存放 .dat 生物特征数据。删除该目录下文件可用于重置 Windows Hello。
- WinBioPlugIns:WinBio 传感器 DLL(WinBio sensor DLLs)。
- WindowsPowerShell:包含 PowerShell 程序和文件(Powershell programs and files)。
- winevt:各种事件日志文件(Various event log files)。
- WinMetadata:包含 WINMD 元数据文件(Contains WINMD files)。
- winrm:Windows 远程管理 INI 文件(Windows Remote Management INI file)。
- SysWOW64:64 位系统上的 32 位兼容层:存放 32 位系统 DLL/EXE,让 32 位程序在 64 位系统上运行
- WinSxS:Windows Side-by-Side,组件仓库:多个版本的系统组件并排存放,避免 DLL 冲突,是更新/回滚的基础
- System:保留的 9x 兼容目录:存放一些兼容旧版 Windows 的 DLL
- INF:驱动安装信息文件:
.inf 文件,用于安装硬件驱动
- 兼容性与应用
- appcompat:应用程序兼容性数据:记录程序兼容性修复、Appraiser/Telemetry 等信息,用于“程序兼容性助手”和升级评估
- apppatch:兼容性补丁 DLL:存放各种“兼容性修补(shim)”库,让老程序能在新版 Windows 上跑
- AppReadiness:AppReadiness 服务使用,用于“首次登录时应用准备”(配置 AppLocker、预装应用等)
- assembly:.NET 全局程序集缓存(GAC):存放 .NET 的 GAC 程序集,供所有 .NET 程序共享
- bcastdvr:广播/游戏录制相关:是 Game DVR / Broadcast 功能的组件,用于游戏录屏、广播等
- InboxApps:预装的“收件箱应用”,比如 Flipgrid PWA、Outlook PWA 等应用文件
- SystemApps:系统自带应用(如设置、开始菜单、Cortana 等)的程序目录
- ImmersiveControlPanel:“设置”应用的实现目录,
SystemSettings.exe 就在这里
- ShellComponents:Windows 可组合 Shell(Composable Shell)相关组件,用于开始菜单、任务栏等 Shell 体验
- ShellExperiences:Shell 体验库:各种现代 UI(Shell)体验所需的库文件
- GameBarPresenceWriter:Xbox Game Bar 的“在线状态/Presence”写入相关组件
- 更新与维护
- SoftwareDistribution:Windows Update 下载缓存:存放从 Windows Update 下载的更新包和元数据
- servicing:TrustedInstaller 所需的包/更新信息,用于处理更新安装、卸载
- CbsTemp:CBS(Component Based Servicing)临时文件:在安装更新、启用/关闭 Windows 功能时使用
- Panther:安装/升级过程中的日志和 XML 文件,用于排错安装失败等问题
- Logs:各种系统日志(CBS、DISM、更新、系统事件等)
- Minidump:小内存转储文件,蓝屏时生成,用于分析蓝屏原因
- PLA:性能日志/诊断报告相关:包含系统诊断报告 XML 等
- diagnostics:诊断脚本、XML,用于各种内置诊断任务
- DiagTrack:“诊断跟踪”服务(Connected User Experiences and Telemetry)的数据目录
- 语言与输入
- Globalization:全球化/本地化资源:语言、区域、排序规则、输入法等
- IME:输入法编辑器 DLL:简体中文、日文、韩文等输入法相关
- InputMethod:输入法词典、词库(
.lex、.lm、.dic)
- Speech:语音识别程序与资源
- Speech_OneCore:OneCore 语音平台库,是现代语音识别/合成核心
- OCR:Windows OCR 引擎资源文件
- en-US / zh-CN:各种语言的 MUI 资源文件,界面语言、对话框等资源
- 界面与资源
- Fonts:系统字体库:
.ttf、.otf、.fon 等
- Cursors:鼠标指针方案
- Resources:主题资源:主题文件、视觉样式、Ease of Access 主题等
- Media:系统事件声音:系统事件音效(.wav)
- Branding:基础品牌资源 DLL:Windows 品牌字样、Logo 等资源
- Web:一些图片/网页资源,比如 Windows 默认背景、网页模板等
- 网络与远程
- Containers:Windows Defender Application Guard 等容器功能的 WIM 镜像或配置
- Offline Web Pages:旧版 IE 保存的“脱机网页”缓存
- TAPI:Telephony API 相关,电话/语音通信相关组件
- Vss:卷影副本服务(System Restore)相关文件和 XML
- WaaS:Windows as a Service:更新相关的注册键和服务 XML
- PolicyDefinitions:组策略/本地策略的 ADMX 模板存储
- L2Schemas:LAN/WAN 相关的 XML Schema 定义
- 安全与诊断
- security:安全日志、安全策略相关文件
- debug:调试日志文件
- tracing:跟踪/诊断日志,某些网络/组件诊断时会用到
- ModemLogs:调制解调器日志
- LiveKernelReports:内核转储,用于分析驱动问题
- Minidump:蓝屏转储文件
- ServiceProfiles:服务账户配置文件(Local Service、Network Service 等)
- ServiceState:服务状态数据
- 其他系统组件
- Microsoft.NET:.NET Framework 系统文件
- Firmware:固件相关资源(EFI、PCAT 等)
- Help:Windows 帮助文件(.chm、帮助主题等)
- Provisioning:桌面配置/预配包,用于企业批量配置
- Registration:某些 COM/CRM 注册相关文件
- rescache:资源缓存文件
- SchCache:计划任务缓存
- schemas:XSD/XML Schema 文件
- Tasks:计划任务(第三方程序创建的任务也会在这里有引用)
- Temp:系统级临时文件(系统/服务用的 Temp)
- SystemTemp:主要用于存放系统级组件的临时文件,与传统
Temp 目录分离,增加了安全性。
- twain_32:TWAIN 驱动(扫描仪/相机等)
- DigitalLocker:用于“数字储物柜”功能(源自 Windows Vista/7 时代的电子商务功能,现已废弃或遗留),通常包含相关下载或授权文件。
- Downloaded Program Files:已下载的程序文件缓存,通常用于存放 IE 浏览器下载的 ActiveX 控件和 Java 小程序。
- IdentityCRL:存储与 Microsoft 帐户登录、身份验证相关的客户端运行时库和组件。
- Migration:用于 Windows 迁移工具,存放系统迁移过程中的配置文件和状态数据。
- OEM:原始设备制造商(OEM)自定义文件夹,通常存放厂商预装的特定驱动、应用或品牌Logo。
- Performance:性能监视器相关文件,包含性能计数器的定义文件和配置。
- Prefetch:预读取文件夹,存储应用程序启动时的预读取信息(.pf文件),用于加速应用启动速度。
- PrintDialog:现代打印对话框的实现组件,用于统一的打印 UI 体验。
- Setup:Windows 安装程序文件,包含系统安装、升级所需的脚本和资源。
- SKB:Service Knowledge Base,通常与 Windows 服务或帮助系统相关的知识库文件。
- SystemResources:系统资源目录,通常存放系统 UI 的核心资源文件(如 Windows.UI.Xaml 等资源包)。
posted @
2026-02-25 12:48
霆枢
阅读(
0)
评论()
收藏
举报
浙公网安备 33010602011771号