我有一些监控软件,用户试图通过在安全模式下启动 Windows 来绕过这些软件。我无法阻止这种情况,因为我以编程方式对启动菜单所做的任何更改都可以手动撤消,但了解之前的启动是否处于安全模式会很有用,因为这是篡改的潜在证据。
我知道我可以使用 GetSystemMetrics() 来找出当前的启动状态,但我想知道是否有任何前一次启动的记录。
最佳答案
是的,您可以通过 eventvwr.exe 了解这一点。在 Windows Logs\System 中,将有来自源“Kernel-General”的 ID 为 12 的事件
这个事件的描述是:
"The operating system started at system time <timestamp>"
在该事件的详细信息中,该事件被标记为“BootMode”。值为 0 表示正常启动,值为 1 表示安全模式。
关于c++ - 如何确定以前的 Windows 启动是否是安全模式启动?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29285102/