Partager via

  • Article

[Archives des newsletters ^] [< Volume 6, Numéro 1] [Volume 7, Numéro 1 >]

Bulletin d’information System Internals Volume 6, Numéro 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

30 juillet 2004 - Dans ce numéro :

  1. ÉDITORIAL

    • Dave Solomon Article invité sur l’extraction des détails des threads avec process Explorer

  2. NOUVEAUTÉS DE SYSINTERNALS

    • Mises à jour des outils
    • Sysinternals est un site de la communauté Microsoft Windows XP

  3. APPEL A TÉMOIGNAGES DE RÉUSSITE DE SYSINTERNALS

    • Envoyez-nous vos success stories et gagnez un T-shirt Sysinternals!

  4. ARTICLES DE MAGAZINE

    • PsExec
    • L’astuce d'optimisation de mémoire

  5. CLASSE DE RÉSOLUTION DES PROBLÈMES AVANCÉS DE WINDOWS INTERNALS

    • San Francisco : 27 septembre-1er octobre

  6. HORAIRE DE DISCUSSION DE MARK

    • TechMentor
    • Connexions Windows
    • Microsoft IT Forum

Le bulletin Sysinternals est parrainé par Winternals Software, sur le Web à l’adresse http://www.winternals.com. Winternals fournit une récupération intelligente pour Microsoft Enterprise.

Windows XP Service Pack 2, qui sera bientôt publié, offre de nombreux avantages, mais peut entraîner des comportements indésirables ou imprévus au sein du système d’exploitation et des applications. Winternals Recovery Manager vous permet de restaurer en toute sécurité et rapidement les systèmes qui sont affectés par les correctifs et les Service Packs, même si les systèmes ont été rendus in-démarrables. Pour en savoir plus sur Recovery Manager et demander un CD d’évaluation, consultez :http://www.winternals.com/es/solutions/recoverymanager.asp

ÉDITORIAL

Dave Solomon et moi travaillons toujours dur sur la prochaine édition de « Inside Windows 2000 » (qui sera appelée « Windows Internals », 4e édition) et nous nous attendons à ce que le manuscrit soit terminé dans les prochaines semaines. Ce livre, qui couvre Windows 2000, Windows XP et Windows Server 2003, affiche une croissance d’environ 20 % par rapport à la 3e édition. Nous pensons que vous trouverez le livre encore plus précieux que l’édition précédente, car en plus d’étendre le matériel existant et d’ajouter du nouveau texte pour couvrir les modifications apportées à XP et 2003, nous avons ajouté du matériel de résolution des problèmes pour des sujets tels que l’analyse du vidage sur incident, le démarrage du système, la mémoire, le processeur, le système de fichiers et le registre.

Parce que je concentre mon temps sur la fin du livre ce bulletin est bref, mais je continuerai régulièrement les bulletins d’information une fois le livre terminé. En attendant, j’inclus un article invité de Dave Solomon sur l’utilisation plus avancée de Process Explorer que ce que j’ai couvert dans le dernier bulletin d’informations.

Profitez et s’il vous plaît passez la newsletter aux personnes que vous pensez trouverez intéressant!

  • Mark Russinovich

Fouiller dans l’activité de thread avec les Explorer de processus

Par Dave Solomon (daves@..., http://www.solsem.com)

Le processus Explorer permet d’accéder facilement à l’activité de thread au sein d’un processus. Cela est particulièrement important si vous essayez de déterminer pourquoi un processus en cours d’exécution héberge plusieurs services (par exemple, Svchost.exe, Dllhost.exe, Inetinfo.exe ou le processus système) ou pourquoi un processus est suspendu.

Pour afficher les threads d’un processus, sélectionnez un processus et ouvrez les propriétés du processus (double-cliquez> sur le processus ou cliquez sur l’élément de menu Propriétés du processus), puis cliquez sur l’onglet Threads. Cela montre la liste des threads du processus, le pourcentage de processeur consommé (en fonction de l’intervalle d’actualisation configuré), le nombre de commutateurs de contexte vers le thread et l’adresse de démarrage du thread. Vous pouvez trier selon l’une de ces trois colonnes. Lorsque vous sélectionnez chaque thread dans la liste, le processus Explorer affiche l’ID du thread, l’heure de début, l’état, les compteurs de temps processeur, le nombre de commutateurs de contexte et la priorité de base et actuelle. Il existe un bouton Tuer qui met fin à un thread individuel, mais il doit être utilisé avec le plus grand soin.

Les nouveaux threads créés sont mis en surbrillance en vert et les threads qui quittent sont mis en surbrillance en rouge (la durée de mise en surbrillance peut être configurée avec l’élément de menu Options-Configurer> la mise en surbrillance). Cela peut être utile pour détecter la création de threads inutile qui se produit dans un processus (en général, les threads doivent être créés au démarrage du processus, et pas à chaque fois qu’une demande est traitée à l’intérieur d’un processus).

Le delta du commutateur de contexte représente le nombre de fois où le thread a commencé à s’exécuter entre les actualisations configurées pour process Explorer et est une façon différente de déterminer l’activité des threads que le pourcentage de processeur consommé, car de nombreux threads s’exécutent pendant une période si courte qu’ils sont rarement (voire jamais) le thread en cours d’exécution lorsque l’interruption du minuteur d’intervalle se produit et ne sont donc pas facturés pour leur temps processeur.

L’adresse de démarrage du thread s’affiche sous la forme « module!function », où module est le nom du .EXE ou .DLL. Le nom de la fonction repose sur l’accès aux fichiers de symboles pour le module, que vous obtenez si vous configurez process Explorer pour utiliser Microsoft Symbol Server (voir l’aide relative notamment aux outils de débogage Microsoft pour Windows, que vous pouvez télécharger à partir du site web de Microsoft à l’adressehttp://www.microsoft.com/whdc/devtools/debugging/default.mspx). Si vous ne savez pas ce qu’est le module, appuyez sur le bouton module. Une fenêtre de propriétés de fichier Explorer s’ouvre pour le module contenant l’adresse de début du thread (par exemple, le .EXE ou .DLL). Pour les threads créés par la fonction WindowsCreateThread, traiter Explorer affiche la fonction passée à CreateThread, et non la fonction de démarrage de thread réelle. Cela est dû au fait que tous les threads Windows démarrent à un processus commun ou à une fonction wrapper de démarrage de thread (BaseProcessStart ou BaseThreadStart dans Kernel32.dll). Si process Explorer affichait l’adresse de début réelle, la plupart des threads dans les processus semblent avoir démarré à la même adresse, ce qui ne serait pas utile pour essayer de comprendre quel code le thread était en cours d’exécution.

Toutefois, l’adresse de démarrage du thread affichée peut ne pas être suffisante pour déterminer ce que fait le thread et quel composant au sein du processus est responsable de l’UC consommée par le thread. Cela est particulièrement vrai si l’adresse de démarrage du thread est une fonction de démarrage générique (par exemple, si le nom de la fonction n’indique pas ce que fait réellement le thread). Dans ce cas, l’examen de la pile de threads peut répondre à la question. Pour afficher la pile d’un thread, double-cliquez sur le thread qui vous intéresse (ou sélectionnez-le et appuyez sur le bouton Pile). Traiter Explorer affiche la pile du thread (utilisateur et noyau, si le thread était en mode noyau). Bien que les débogueurs en mode utilisateur (Windbg, Ntsd et Cdb) vous permettent d’attacher à un processus et d’afficher la pile utilisateur d’un thread, traiter Explorer affiche la pile utilisateur et noyau en un simple clic d’un bouton. Vous pouvez également examiner les piles de threads d’utilisateur et de noyau à l’aide de Livekd de Sysinternals, mais il est plus difficile à utiliser ; Notez que l’exécution de Windbg en mode de débogage du noyau local, qui est uniquement pris en charge sur Windows XP ou Windows Server 2003, n’affiche pas les piles de threads.

[Note personnelle de Mark : cela m’a aidé à résoudre pourquoi Powerpoint était suspendu pendant une minute chaque fois que je l’ai commencé. J’ai utilisé Process Explorer pour examiner la pile d’un thread dans le processus Powerpoint ; il attendait un appel pour se connecter à une imprimante réseau ; il s’avère que j’avais une connexion à une imprimante réseau qui ne répondait pas, et parce que les applications Microsoft Office se connectaient à toutes les imprimantes configurées au démarrage du processus, Powerpoint a été « suspendu » jusqu’à ce que la tentative de connexion à l’imprimante a expiré. Après avoir supprimé la connexion à l’imprimante, le problème a disparu.]

NOUVEAUTÉS DE SYSINTERNALS

MISES A JOUR DES OUTILS

Un certain nombre d’outils ont été mis à jour depuis le dernier bulletin d’informations en avril. Voici un résumé des améliorations :

Process Explorer

Le processus Explorer est un remplacement du Gestionnaire des tâches (vous pouvez même remplacer le Gestionnaire des tâches par une sélection dans le menu Options du Explorer de processus).

  • L’onglet TCP/IP sur les propriétés du processus affiche les connexions TCP et UDP ; les modifications sont mises en surbrillance en couleur, ce qui facilite l’affichage des connexions nouvelles et fermées
  • Version 64 bits pour les systèmes AMD64
  • Prise en charge de la définition de masques d’affinité de processus sur les systèmes SMT (hyperthreaded) et SMP
  • Afficher les améliorations des performances des mises à jour

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DebugView

DebugView est un utilitaire de développement qui vous permet de capturer la sortie de débogage en mode utilisateur et en mode noyau sans débogueur localement ou sur le réseau.

  • Mémoires tampons utilisateur et en mode noyau plus volumineux
  • Autres filtres de mise en surbrillance
  • Habillage de fichier journal
  • Prise en charge de la sortie de débogage du noyau Windows XP SP2
  • Efface la sortie lorsqu’il voit une chaîne de débogage spéciale « clear output »

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

PendMoves

Pendmoves est un nouvel utilitaire Sysinternals qui affiche les commandes de déplacement et de suppression de fichiers planifiées sur un système pour le démarrage suivant.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

AdRestore

Adrestore est un utilitaire de ligne de commande qui tire parti de la « tombstoning » de Windows Server 2003 Active Directory (AD) pour fournir une fonctionnalité de suppression limitée pour les objets AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Écran de veille BlueScreen

Cet écran de veille, qui imite l’écran bleu de la mort, prend désormais en charge les systèmes multi-monitor et Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

Ce nouvel utilitaire de ligne de commande affiche la liste des sessions d’ouverture de session sur un système, y compris le réseau, l’interaction et le traitement par lots, ainsi que les processus en cours d’exécution dans chaque session.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

PSTools

La suite Pstools se compose de 11 outils en ligne de commande d’administration qui fonctionnent localement et à distance. Beaucoup d’entre eux ont été mis à jour au cours des derniers mois pour inclure la prise en charge de plusieurs systèmes informatiques que vous pouvez spécifier sur la ligne de commande ou dans un fichier texte.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Les exécutions automatiques affichent la liste la plus complète des emplacements du Registre et du système de fichiers Windows que les applications peuvent utiliser pour se configurer pour démarrer automatiquement pendant le processus de démarrage.

  • Le système de fichiers et les emplacements du Registre s’étendent désormais sur plusieurs colonnes pour faciliter la lecture
  • Option permettant d’afficher uniquement les entrées non-Microsoft, ce qui permet de voir facilement quels logiciels non-MS sont configurés pour démarrer lorsque vous vous connectez
  • Peut maintenant désactiver une entrée sans la supprimer du Registre (fait désormais des exécutions automatiques un sur-ensemble de Msconfig)
  • Option permettant d’afficher les services configurés pour démarrer au moment du démarrage

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

En plus des mises à jour des outils, il existe une mise à jour d’un article technique :

Informations de référence sur les options Boot.ini

Cette référence inclut désormais boot.ini commutateurs ajoutés dans Windows XP et Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS EST UN SITE COMMUNAUTAIRE DE MICROSOFT WINDOWS XP

Sysinternals est un site communautaire pour Windows XP Embedded à Microsoft.com depuis plusieurs années et maintenant je suis fier d’annoncer que Microsoft a également fait de Sysinternals un site communautaire sur la page Zone d’experts Windows XP :

http://www.microsoft.com/windowsxp/expertzone/default.mspx

CHERCHE TÉMOIGNAGES DE RÉUSSITE DE SYSINTERNALS !

Les participants à mes séminaires et présentations de conférence aiment entendre des histoires de réussite réelles, donc si vous avez une résolution des problèmes avec les outils Sysinternals, j’aimerais en entendre parler. Quand vous m’en envoyez un à mark@... Je vous entrerai dans un dessin mensuel pour gagner un t-shirt Sysinternals hors impression en édition limitée. Veuillez être aussi détaillé que possible sur la façon dont vous avez utilisé l’outil Sysinternals pour résoudre le problème et, si possible et applicable, envoyer des captures d’écran et/ou des fichiers journaux (Filemon et Regmon peuvent enregistrer leur sortie dans un fichier texte).

ARTICLES DE MAGAZINE

PsExec

Cet article que j’ai écrit pour le numéro de juillet est actuellement disponible uniquement pour les abonnés de Windows et .NET Magazine. Il couvre l’utilisation avancée de Psexec et décrit son fonctionnement et son interaction avec la sécurité Windows.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

L’astuce d'optimisation de mémoire

Dans ce magazine Windows et .NET, qui est disponible pour les non-abonnés, l’article je décrit le comportement trompeur des soi-disant « optimiseurs de RAM ».

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

CLASSE DE RÉSOLUTION DES PROBLÈMES AVANCÉS DE WINDOWS INTERNALS

27 septembre au 1er octobre 2004 - San Francisco

Pour la première fois ouverte au public, David Solomon et moi présentons la version pratique de 5 jours de notre classe de résolution des problèmes avancées pour Windows 2000/XP/2003 à San Francisco, du 27 septembre au 1er octobre 2004. (Les participants doivent apporter leur propre ordinateur portable ; les détails de configuration seront fournis à l’avance, sans aucun achat de logiciel supplémentaire n’est nécessaire).

Il s’agit de la même classe que celle que nous enseignons aux employés de Microsoft dans le monde entier. Il couvre les éléments internes des threads de processus, la planification des threads, la gestion de la mémoire, la sécurité, le Registre et le système d’E/S. Explorez les mécanismes tels que les threads système, la distribution des appels système, la gestion des interruptions, l’arrêt du démarrage. Découvrez des techniques avancées de résolution des problèmes à l’aide des outils Sysinternals et comment effectuer l’analyse de base du vidage sur incident.

Pourquoi prendre ce cours ? Si vous êtes un professionnel de l'informatique déployant et prenant en charge des serveurs et des postes de travail Windows, vous devez être capable de creuser sous la surface lorsque les choses tournent mal. Comprendre les composants internes du système d'exploitation Windows et savoir utiliser des outils de dépannage avancés vous aidera à résoudre ces problèmes et à comprendre plus efficacement les problèmes de performances du système. Comprendre les composants internes peut aider les programmeurs à mieux tirer parti de la plate-forme Windows, ainsi qu'à fournir des techniques de débogage avancées. Et parce que le cours a été développé avec un accès complet au code source du noyau Windows et aux développeurs, vous savez que vous obtenez la vraie histoire.

Pour plus d’informations et pour l’inscription, visitez

http://www.sysinternals.com/troubleshoot.shtml

HORAIRE DE DISCUSSION DE MARK

Après avoir parlé à Microsoft TechEd US et TechEd Europe en mai et juin, je profite de l’été à la maison dans le Texas ensoleillé. Voici mes trois prochaines conférences :

TECHMENTOR

Du 27 septembre au 1er octobre 2004 San Jose, CA

Je donne quatre sessions lors de cette conférence, toutes le 29 septembre, y compris « Windows et Linux: A Tale of Two Kernels » en tant que keynote. Les autres sessions que je présente sont « Windows Hang and Crash Dump Analysis », « Windows XP and Windows Server 2003 Kernel Changes » et « Troubleshooting Windows Boot and Startup ».

Vous pouvez lire mes résumés et trouver un lien vers la page d’inscription à la conférence à l’adresse

http://www.sysinternals.com/ntw2k/info/talk.shtml

CONNEXIONS WINDOWS

24-27 octobre 2004 Orlando, FL

Lors de cette conférence, je donne ma conférence « Résolution des problèmes de démarrage et de démarrage de Windows » en tant que session générale et présente également « Résolution des problèmes liés à Windows avec les outils Sysinternals », tous deux le 24 (je suis fier de dire que Microsoft Network - MSN - m’a invité à présenter en tant qu’adresse de note clé une session de résolution des problèmes Windows d’une journée à leur msn Engineering Excellence Conference annuel cette semaine-là à Seattle).

Lisez les résumés et accédez au site de la conférence à partir de

http://www.sysinternals.com/ntw2k/info/talk.shtml

FORUM IT MICROSOFT

Copenhague, Danemark

J’offre une session de didacticiel d’une journée avec Dave Solomon sur les principaux éléments de sécurité windows, ainsi que plusieurs sessions en petits groupes qui restent à déterminer. Vous trouverez les informations d’inscription et de résumé du didacticiel de pré-conférence ici : http://www.microsoft.com/europe/msitforum/

Merci d’avoir lu le bulletin Sysinternals.

Publié le vendredi 30 juillet 2004 à 16h39 par ottoh

[Archives des newsletters ^] [< Volume 6, Numéro 1] [Volume 7, Numéro 1 >]