我一直在尝试遵循
因为我对保存的个人信息感到不舒服~/AppData/Local/Packages/Microsoft.Windows.Search_cw5n1h2txyewy/LocalState/DeviceSearchCache/AppCacheBUNCH-OF-NUMBERS-REPRESENTING-A-64-BIT-WINDOWS-FILETIME.txt。例如,它保存了有关我的一些 Firefox 标签的信息:
"System.FileName":{"Value":"firefox","Type":12},"System.ConnectedSearch.JumpList":{"Value":"[{\"Name\":\"Frequent\",\"Type\":4,\"Items\":[{\"Type\":2,\"Name\":\"How to Import Intermediate and Root Certificates Using MMC\",\"Path\":\"C:\\\\Program Files\\\\Mozilla Firefox\\\\firefox.exe\",\"Description\":\"How to Import Intermediate and Root Certificates Using MMC\"},{\"Type\":2,\"Name\":\"Internet Archive: Digital Library of Free & Borrowable Books, Movies, Music & Wayback Machine\",\"Path\":\"C:\\\\Program Files\\\\Mozilla Firefox\\\\firefox.exe\",\"Description\":\"Internet Archive: Digital Library of Free & Borrowable Books, Movies, Music & Wayback Machine\"},{\"Type\":2,\"Name\":\"Ars Technica\",\"Path\":\"C:\\\\Program Files\\\\Mozilla Firefox\\\\firefox.exe\",\"Description\":\"Ars Technica\"},
以管理员权限运行命令提示符:
> taskkill /f /im SearchApp.exe
SUCCESS: The process "SearchApp.exe" with PID 9396 has been terminated.
> move .\Microsoft.Windows.Search_cw5n1h2txyewy .\Microsoft.Windows.Search_cw5n1h2txyewy.old
Access is denied.
0 dir(s) moved.
多次重试该命令后,我进行了调查。每次我用 终止它时,move它似乎都会以新的 PID 重新生成。使用资源监视器 ( ) 和任务管理器查找与 关联的 PID ,我发现加密服务正在使用 的子文件夹,并且多个 dllhost.exe 进程正在使用它的另一个子文件夹。SearchApp.exetaskkillresmon.exesvchost.exeMicrosoft.Windows.Search_cw5n1h2txyewy
这可能与我使用的是 Windows 10 22H2 有关,而 bleepingcomputer.com 上的说明仅针对 Windows 10 2004 进行了更新。
在 Windows 10 22H2 及更高版本中,有没有办法永久安全地终止 SearchApp.exe 并删除其缓存文件,或者至少是其包含的文件夹?
编辑:根据评论中的要求,这是“属性”中 SearchApp.exe 的数字签名选项卡的屏幕截图:
它的“常规”选项卡:
编辑2:资源监视器的此屏幕截图显示 SearchApp.exe 具有 AppData 文件夹的句柄,尽管它不具有LocalState/DeviceSearchCache。可能是因为这不是它更新缓存的时间:
编辑3:任务管理器的此屏幕截图显示 SearchApp 的状态(显然)为“已暂停”:
编辑4:文件名中的数字使用 Windows 文件时间格式。如所述https://learn.microsoft.com/en-us/windows/win32/sysinfo/acquiring-high-resolution-time-stamps#faq-about-programming-with-qpc-and-tsc:
文件时间是一个 64 位值,表示自协调世界时 (UTC) 1601 年 1 月 1 日凌晨 12:00 以来经过的 100 纳秒间隔数。
AStackOverflow 答案很有帮助地提供了有关如何将这些转换为 Unix 时间的说明。我能够获取最新版本的 AppCache 文件中的数字序列(133398601010854315),并将其转换为 Unix 时间 1695386501(2023 年 9 月 22 日星期五 13:41:41 GMT+0100)——与 Windows 资源管理器中文件的修改时间仅相差一秒。
这一秒可能是由于除法运算失去了一些精度,或者可能是闰秒。
编辑5:重新启动以安装更新后,此文件夹现在包含二AppCache 文件的副本,除了文件名中的时间戳不同外,其余内容完全相同。它们都已更新,包含有关我昨天打开的 Firefox 标签的信息。
~/AppData/Local/Packages/Microsoft.Windows.Search_cw5n1h2txyewy/LocalState/DeviceSearchCache
$ md5sum *.txt
8719a292214fc12f15b7c6c5bf9056a5 *AppCache133401956586656870.txt
8719a292214fc12f15b7c6c5bf9056a5 *AppCache133401956702714154.txt
18c12475040fdc68ce53f16f902ac061 *SettingsCache.txt