Share via

  • Artykuł

[Archiwum biuletynów ^][< Wolumin 6, Numer 1][Wolumin 7, Numer 1 >]

System wewnętrzny biuletyn woluminu 6, numer 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

30 lipca 2004 r. — w tym problemie:

  1. REDAKCJI

    • Dave Solomon Guest Artykuł na temat kopania szczegółów wątku za pomocą Eksploratora procesów

  2. CO NOWEGO W SYSINTERNALS

    • Narzędzia Aktualizacje
    • Sysinternals to witryna społeczności systemu Microsoft Windows XP

  3. WEZWANIE DO HISTORII SUKCESU SYSINTERNALS

    • Wyślij nam swoje historie sukcesu i wygraj T-shirt Sysinternals!

  4. ARTYKUŁY MAGAZYNU

    • PsExec
    • Hoax optymalizacji pamięci

  5. PRAKTYCZNE ELEMENTY WEWNĘTRZNE SYSTEMU WINDOWS I ZAAWANSOWANA KLASA ROZWIĄZYWANIA PROBLEMÓW

    • San Francisco - 27 września-1 października

  6. HARMONOGRAM MÓWIENIA MARK

    • TechMentor
    • Połączenie windows
    • Microsoft IT Forum

Biuletyn Sysinternals jest sponsorowany przez Winternals Software, w Sieci Web http://www.winternals.com. Winternals zapewnia inteligentne odzyskiwanie dla firmy Microsoft Enterprise.

Wkrótce wydana wersja systemu Windows XP z dodatkiem Service Pack 2 przyniesie wiele korzyści, ale może spowodować niepożądane lub nieprzewidziane zachowania w systemie operacyjnym i w aplikacjach. Program Winternals Recovery Manager umożliwia bezpieczne i szybkie wycofywanie systemów, które mają negatywny wpływ na poprawki i dodatki Service Pack, nawet jeśli systemy zostały renderowane nie do rozruchu. Aby dowiedzieć się więcej o programie Recovery Manager i zażądać dysku CD oceny, odwiedź stronę: http://www.winternals.com/es/solutions/recoverymanager.asp

REDAKCJI

Dave Solomon i ja są nadal ciężko w pracy na następnej edycji "Inside Windows 2000" (być nazywane "Windows Internals", 4 wydanie) i spodziewają się mieć rękopis ukończony w ciągu najbliższych kilku tygodni. Książka, która obejmuje systemy Windows 2000, Windows XP i Windows Server 2003, pokazuje wzrost o około 20% w ciągu 3 edycji. Uważamy, że książka będzie jeszcze bardziej cenna niż poprzednia wersja, ponieważ oprócz rozszerzenia istniejącego materiału i dodania nowego tekstu w celu pokrycia zmian XP i 2003 dodaliśmy materiał rozwiązywania problemów dla tematów takich jak analiza zrzutu awaryjnego, uruchamianie systemu, pamięć, procesor, system plików i rejestr.

Ponieważ skupiam się na zakończeniu książki ten biuletyn jest krótki, ale będę kontynuować regularne biuletyny po zakończeniu książki. W międzyczasie jestem w tym artykuł gościa Dave Solomon na bardziej zaawansowane użycie Process Explorer niż to, co omówiłem w ostatnim biuletynie.

Ciesz się i proszę przekazać biuletyn do osób, które uważasz, że znajdzie to interesujące!

  • Mark Russinovich

Analizowanie działania wątku za pomocą Eksploratora procesów

Przez Dave Solomon (daves@..., http://www.solsem.com)

Eksplorator procesów zapewnia łatwy dostęp do działania wątków w ramach procesu. Jest to szczególnie ważne, jeśli próbujesz określić, dlaczego proces jest uruchomiony, który hostuje wiele usług (takich jak Svchost.exe, Dllhost.exe, Inetinfo.exe lub Proces systemowy) lub dlaczego proces zawiesza się.

Aby wyświetlić wątki w procesie, wybierz proces i otwórz właściwości procesu (kliknij dwukrotnie proces lub kliknij element menu Process-Properties>) i kliknij kartę Wątki. Spowoduje to wyświetlenie listy wątków w procesie, procent użycia procesora CPU (na podstawie skonfigurowanego interwału odświeżania), liczby przełączników kontekstu do wątku i adresu początkowego wątku. Można sortować według dowolnej z tych trzech kolumn. Po wybraniu każdego wątku na liście Eksplorator procesów wyświetla identyfikator wątku, czas rozpoczęcia, stan, liczniki czasu procesora CPU, liczbę przełączników kontekstu oraz podstawowy i bieżący priorytet. Istnieje przycisk Kill, który zakończy pojedynczy wątek, ale powinien być używany z ekstremalną starannością.

Nowe wątki, które są tworzone, są wyróżnione kolorem zielonym, a wątki, które kończą działanie, są wyróżnione na czerwono (czas trwania wyróżnienia można skonfigurować za pomocą elementu menu Opcje-Konfigurowanie> wyróżniania). Może to być przydatne w przypadku odnajdywania niepotrzebnego tworzenia wątków występujących w procesie (ogólnie rzecz biorąc, wątki powinny być tworzone podczas uruchamiania procesu, a nie za każdym razem, gdy żądanie jest przetwarzane wewnątrz procesu).

Delta przełącznika kontekstu reprezentuje liczbę uruchomień wątku między odświeżeniami skonfigurowanymi dla Eksploratora procesów i jest innym sposobem określania aktywności wątku niż procent użycia procesora CPU, ponieważ wiele wątków jest uruchamianych przez tak krótki czas, że są rzadko (jeśli kiedykolwiek) aktualnie uruchomiony wątek, gdy występuje przerwanie zegara interwału i dlatego nie są naliczane opłaty za czas procesora CPU.

Adres początkowy wątku jest wyświetlany w formularzu "module!function", gdzie moduł jest nazwą pliku .EXE lub biblioteki DLL. Nazwa funkcji opiera się na dostępie do plików symboli dla modułu, który można uzyskać po skonfigurowaniu Eksploratora procesów do korzystania z serwera symboli firmy Microsoft (zobacz pomoc dotyczącą narzędzi debugowania firmy Microsoft dla systemu Windows, które można pobrać z witryny internetowej firmy Microsoft pod adresem http://www.microsoft.com/whdc/devtools/debugging/default.mspx). Jeśli nie masz pewności, co to jest moduł, naciśnij przycisk modułu. Spowoduje to otwarcie okna właściwości pliku Eksploratora dla modułu zawierającego adres początkowy wątku (np. plik EXE lub bibliotekę DLL). W przypadku wątków utworzonych przez funkcję systemu Windows CreateThread Eksplorator procesów wyświetla funkcję przekazaną do CreateThread, a nie rzeczywistą funkcję uruchamiania wątku. Wynika to z faktu, że wszystkie wątki systemu Windows zaczynają się od typowego procesu lub funkcji otoki uruchamiania wątku (BaseProcessStart lub BaseThreadStart w pliku Kernel32.dll). Jeśli Eksplorator procesów wyświetlił rzeczywisty adres początkowy, większość wątków w procesach wydaje się zaczynać pod tym samym adresem, co nie byłoby pomocne w próbie zrozumienia, jaki kod był wykonywany wątek.

Jednak wyświetlany adres rozpoczęcia wątku może nie być wystarczający, aby wskazać, co robi wątek i który składnik w procesie jest odpowiedzialny za procesor używany przez wątek. Jest to szczególnie istotne, jeśli adres rozpoczęcia wątku jest ogólną funkcją uruchamiania (np. jeśli nazwa funkcji nie wskazuje, co w rzeczywistości robi wątek). W takim przypadku badanie stosu wątków może odpowiedzieć na pytanie. Aby wyświetlić stos wątku, kliknij dwukrotnie interesujący go wątek (lub wybierz go i naciśnij przycisk Stos). Eksplorator procesów wyświetla stos wątku (zarówno użytkownik, jak i jądro, jeśli wątek był w trybie jądra). Podczas gdy debugery trybu użytkownika (Windbg, Ntsd i Cdb) umożliwiają dołączanie do procesu i wyświetlanie stosu użytkownika dla wątku, Eksplorator procesów pokazuje zarówno użytkownika, jak i stos jądra w jednym łatwym kliknięciu przycisku. Możesz również zbadać stosy wątków użytkownika i jądra przy użyciu narzędzia Livekd z poziomu narzędzia Sysinternals, jednak jest to trudniejsze do użycia; Należy pamiętać, że uruchomienie narzędzia Windbg w lokalnym trybie debugowania jądra, który jest obsługiwany tylko w systemie Windows XP lub Windows Server 2003, nie pokazuje stosów wątków.

[Notatka osobista od Marka — to pomogło mi rozwiązać, dlaczego program Powerpoint zawieszał się przez jedną minutę za każdym razem, gdy go zacząłem. Używałem Eksploratora procesów do przyjrzenia się stosowi jednego wątku w procesie programu PowerPoint; czekało na wywołanie, aby nawiązać połączenie z drukarką sieciową; Okazuje się, że miałem połączenie z drukarką sieciową, która nie odpowiada, a ponieważ aplikacja pakietu Office lications firmy Microsoft łączą się ze wszystkimi skonfigurowanymi drukarkami podczas uruchamiania procesu, program Powerpoint był "zawieszony", dopóki próba nawiązania połączenia z drukarką upłynął limit czasu. Po usunięciu połączenia z drukarką problem przestał występować.]

CO NOWEGO W SYSINTERNALS

AKTUALIZACJE NARZĘDZI

Wiele narzędzi zostało zaktualizowanych od ostatniego biuletynu w kwietniu. Oto podsumowanie ulepszeń:

Eksplorator procesów

Eksplorator procesów jest zamiennikiem Menedżera zadań (można nawet zamienić Menedżera zadań na wybór w menu Opcje Eksploratora procesów).

  • Karta TCP/IP we właściwościach procesu wyświetla połączenia TCP i UDP; zmiany są wyróżnione kolorem, co ułatwia wyświetlanie nowych i zamkniętych połączeń
  • Wersja 64-bitowa dla systemów AMD64
  • Obsługa ustawiania masek koligacji procesów w systemach SMT (hiperwątku) i SMP
  • Wyświetlanie ulepszeń wydajności aktualizacji

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Widok debugowania

DebugView to narzędzie deweloperskie, które umożliwia przechwytywanie danych wyjściowych debugowania trybu użytkownika i trybu jądra bez lokalnego debugera lub w sieci.

  • Większy tryb jądra i bufory użytkownika
  • Więcej filtrów wyróżniania
  • Zawijanie plików dziennika
  • Obsługa danych wyjściowych debugowania jądra systemu Windows XP z dodatkiem SP2
  • Czyści dane wyjściowe po wyświetleniu specjalnego ciągu debugowania "wyczyść dane wyjściowe"

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves to nowe narzędzie Sysinternals, które wyświetla polecenia przenoszenia i usuwania plików, które zostały zaplanowane w systemie w celu wykonania następnego rozruchu.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore to narzędzie wiersza polecenia, które korzysta z systemu Windows Server 2003 Active Directory (AD) "tombstoning", aby zapewnić ograniczoną możliwość cofania dla obiektów usługi AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Wygaszacz ekranu bluescreen

Ten wygaszacz ekranu, który naśladuje niebieski ekran śmierci, obsługuje teraz systemy multimonitorowania i Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogowaniaSesje

To nowe narzędzie wiersza polecenia pokazuje listę sesji logowania w systemie, w tym sieci, interakcyjne i wsadowe, a także pokazuje procesy uruchomione w każdej sesji.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Narzędzia pstools

Pakiet Pstools składa się z 11 administracyjnych narzędzi wiersza polecenia, które działają lokalnie i zdalnie. Wiele z nich zostało zaktualizowanych w ciągu ostatnich kilku miesięcy, aby uwzględnić obsługę wielu systemów komputerowych, które można określić w wierszu polecenia lub w pliku tekstowym.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Autoruns pokazuje najbardziej kompleksową listę lokalizacji rejestru i systemu plików systemu Windows, których aplikacje mogą używać do konfigurowania się do automatycznego uruchamiania podczas procesu rozruchu.

  • System plików i lokalizacje rejestru obejmują teraz wiele kolumn, aby ułatwić odczytywanie
  • Opcja wyświetlania tylko wpisów innych niż Microsoft, co ułatwia sprawdzenie, jakie oprogramowanie inne niż MS jest skonfigurowane do uruchamiania po zalogowaniu
  • Teraz można wyłączyć wpis bez usuwania go z rejestru (powoduje, że autoruns jest teraz nadzbiorem msconfig)
  • Opcja wyświetlania usług skonfigurowanych do uruchamiania w czasie rozruchu

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Oprócz aktualizacji narzędzi dostępna jest aktualizacja artykułu technicznego:

Dokumentacja opcji Boot.ini

Ta dokumentacja zawiera teraz przełączniki boot.ini dodane w systemach Windows XP i Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS TO WITRYNA SPOŁECZNOŚCI SYSTEMU MICROSOFT WINDOWS XP

Sysinternals jest witryną społeczności dla systemu Windows XP Embedded w Microsoft.com od kilku lat, a teraz jestem dumny, że firma Microsoft wprowadziła również sysinternals witrynę społeczności na stronie strefy ekspertów systemu Windows XP:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

SZUKASZ HISTORII SUKCESU SYSINTERNALS!

Publiczność w moich seminariach i prezentacjach konferencyjnych uwielbia usłyszeć prawdziwe słowa historie sukcesu, więc jeśli masz jeden rozwiązywania problemów z narzędziami Sysinternals chciałbym o tym usłyszeć. Kiedy wyślesz go do mnie na mark@... Weszę do Ciebie w comiesięcznym rysunku, aby wygrać limitowaną edycję out-of-print Sysinternals t-shirt. Proszę być tak szczegółowo, jak to możliwe, jak użyto narzędzia Sysinternals do rozwiązania problemu, a jeśli to możliwe, i jeśli to możliwe, wysyłać zrzuty ekranu i/lub pliki dziennika (Filemon i Regmon mogą zapisywać dane wyjściowe w pliku tekstowym).

ARTYKUŁY MAGAZYNU

Psexec

Ten artykuł napisałem dla lipca problem jest obecnie dostępny tylko dla subskrybentów Windows i .NET Magazine. Obejmuje zaawansowane użycie programu Psexec i opisuje sposób jego działania i interakcję z zabezpieczeniami systemu Windows.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

Hoax optymalizacji pamięci

W tym windows i .NET Magazine, który jest dostępny dla nieskrybenci, artykuł opisuję oszustwa tak zwane "optymalizatory RAM".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

PRAKTYCZNE FUNKCJE WEWNĘTRZNE SYSTEMU WINDOWS I ZAAWANSOWANA KLASA ROZWIĄZYWANIA PROBLEMÓW

27 września 2004 r. — San Francisco

Po raz pierwszy otwarty dla publiczności, David Solomon i ja prezentujemy 5-dniową wersję praktycznego systemu Windows 2000/XP/2003 wewnętrzną i zaawansowaną klasę rozwiązywania problemów w San Francisco, 27-październik 1, 2004. (Uczestnicy muszą przynieść własny laptop; szczegóły konfiguracji będą dostarczane z wyprzedzeniem — nie jest wymagany zakup dodatkowego oprogramowania).

Jest to ta sama klasa, która uczymy pracowników firmy Microsoft na całym świecie. Obejmuje wewnętrzne procesy i wątki, planowanie wątków, zarządzanie pamięcią, zabezpieczenia, rejestr i system we/wy. Zapoznaj się z mechanizmami, takimi jak wątki systemowe, wysyłanie wywołań systemowych, obsługa przerwań, uruchamianie i zamykanie. Poznaj zaawansowane techniki rozwiązywania problemów przy użyciu narzędzi Sysinternals i sposobu przeprowadzania analizy zrzutu awaryjnego.

Dlaczego warto wziąć tę klasę? Jeśli jesteś specjalistami IT wdrażającymi i obsługującymi serwery z systemem Windows i stacje robocze, musisz mieć możliwość kopania pod powierzchnią, gdy coś pójdzie nie tak. Zrozumienie wewnętrznych elementów systemu operacyjnego Windows i poznanie sposobu korzystania z zaawansowanych narzędzi do rozwiązywania problemów pomoże Ci skuteczniej radzić sobie z takimi problemami i lepiej zrozumieć problemy z wydajnością systemu. Zrozumienie wewnętrznych elementów może pomóc programistom lepiej wykorzystać platformę Windows, a także zapewnić zaawansowane techniki debugowania. Ponieważ kurs został opracowany z pełnym dostępem do kodu źródłowego jądra systemu Windows i deweloperów, wiesz, że otrzymujesz prawdziwą historię.

Aby uzyskać szczegółowe informacje i rejestrację, odwiedź stronę

http://www.sysinternals.com/troubleshoot.shtml

HARMONOGRAM MÓWIENIA MARK

Po rozmowie z Microsoft TechEd US i TechEd Europe w maju i czerwcu, cieszę się latem w domu w słonecznym Teksasie. Oto moje następne trzy zaangażowania konferencji:

TECHMENTOR

27 września 2004 San Jose, CA

Dostarczam cztery sesje na tej konferencji, wszystkie 29 września, w tym "Windows i Linux: Opowieść o dwóch jądrach" jako prezentacja. Inne sesje, które przedstawiam, to "Analiza zawieszania się i zrzutu awaryjnego systemu Windows", "Windows XP i Windows Server 2003 Zmiany jądra" oraz "Rozwiązywanie problemów z rozruchem i uruchamianiem systemu Windows".

Możesz przeczytać moje abstrakcje i znaleźć link do strony rejestracji konferencji pod adresem

http://www.sysinternals.com/ntw2k/info/talk.shtml

POŁĄCZENIA SYSTEMU WINDOWS

24-27 października 2004 Orlando, FL

Na tej konferencji dostarczam moją rozmowę "Rozwiązywanie problemów z rozruchem i uruchamianiem systemu Windows" jako sesję ogólną, a także przedstawiam "Rozwiązywanie problemów z systemem Windows za pomocą narzędzi Sysinternals", zarówno w 24.00 (jestem dumny, że Microsoft Network - MSN - zaprosił mnie do przedstawienia jako najważniejsze uwagi adres całodziennej sesji rozwiązywania problemów z systemem Windows na dorocznej konferencji MSN Engineering Excellence Conference w Seattle).

Przeczytaj abstrakcje i przejdź do witryny konferencyjnej z

http://www.sysinternals.com/ntw2k/info/talk.shtml

MICROSOFT IT FORUM

Kopenhaga, Dania

Dostarczam całodobową sesję samouczka przed konferencją z Dave'em Solomonem w podstawowych wewnętrznych zabezpieczeń systemu Windows, a także kilka sesji breakout na własną rękę, które nie zostały jeszcze ustalone. Szczegółowe informacje na temat rejestracji i abstrakcji samouczka przed konferencją można znaleźć tutaj: http://www.microsoft.com/europe/msitforum/

Dziękujemy za przeczytanie biuletynu Sysinternals.

Opublikowano piątek, 30 lipca 2004 16:39 przez ottoh

[Archiwum biuletynów ^][< Wolumin 6, Numer 1][Wolumin 7, Numer 1 >]