[Архив бюллетеней ^] [ Том 1, Число 2] [<Том 1, Число 4 >]
Информационный бюллетень внутренних систем 1, номер 3
http://www.sysinternals.com
Авторские права (C) 1999 Марк Руссинович
19 июня 1999 г. — в этой проблеме:
НОВЫЕ ВОЗМОЖНОСТИ ВНУТРЕННИХ СИСТЕМ
- SDelete версии 1.1
- Строки версии 2.0
- LoggedOn
- Filemon версии 4.13
- DebugView/EE версии 3.1
- "Внутри сети NT"
- Июнь "NT Internals"
- Состояние обновления NTFrob
- Не так-новые вещи
ВНУТРЕННИЕ НОВОСТИ
- Выпуск Numega DriverStudio
- Доступный пакет SDK для платформы июня
- Средство защиты файлов Win2K (SFP)
- Закрытие файлов, открытых из сети
ЧТО ПРОИСХОДИТ
- AWE-некоторый API Win2K
СПОНСОР: WINTERNALS SOFTWARE
Информационный бюллетень по внутренним системам спонсируется По Winternals, в Интернете http://www.winternals.com. Winternals Software является ведущим разработчиком и поставщиком расширенных системных средств для Windows NT/2K. Продукты Winternals Software включают FAT32 для Windows NT 4.0, ERD Commander (возможность загрузки диска для Windows NT) и NTRecover.
Winternals Software объявляет о выпуске Regmon и Filemon выпуск Enterprise. Эти служебные программы предоставляют все функциональные возможности freeware Filemon и Regmon и добавляют следующие мощные функции:
- Просмотр действий реестра и файловой системы, происходящих в удаленных системах Win9x/NT
- Вывод журнала в файл в режиме реального времени
- копирование выходных строк в буфер обмена
- выделение строк, соответствующих фильтру
- просмотр выходных данных с разных компьютеров одновременно
- печать выходных данных непосредственно на принтер
- легко вспомнить последние 5 выбранных фильтров
Получение сведений о заказах и ценах по адресу http://www.winternals.com.
Здравствуйте!
Добро пожаловать в третий выпуск бюллетеня System Internals. В настоящее время бюллетень имеет 4400 подписчиков.
В последнем бюллетене я отметил, как Корпорация Майкрософт ушел с синего экрана смерти, как мы знаем, что он движется вперед в Windows 2000 (Win2K). Новый синий экран Win2K не содержит загруженных драйверов и дампа стека, присутствующих в предыдущих версиях Windows NT. Я спросила, если вы нашли информацию, которую Корпорация Майкрософт лишила полезных и хотела бы, чтобы они оставили вещи в одиночку. Ответ был практически единодушным, с каждым респондентом (кроме одного) интересно, почему Корпорация Майкрософт собирается на самый низкий общий знаменатель. Вот типичное мнение, отправленное Тони Лавинио:
Таким образом, иными словами, это ответ клиента, на который корпорация Майкрософт основывается на своем решении:
"Я не понимаю его, так что это должно быть плохо; сделайте это уйти.
Почему они просто не удаляют весь экран и помещают сообщение "Pull Plug, Reinsert Plug, Start Over"? Почему они отнимают один из немногих подсказок, которые у нас есть, почему вещи пошли кислые?
По крайней мере раньше, если это был сканер вирусов или дефрагментатор или драйвер ошибки, у нас будет точка, с которой начать поиск.
Если это средство помогает только 1 в 10 000 из нас, с широкой базой развертывания NT, стоит это сделать. Особенно, поскольку мы 01% поддерживаем хорошую часть других 99,99%.
Кто был одиноким инакомыслием? Это не слишком удивительно, что это кто-то из Майкрософт, что поля Blue Screen аварийное завершение отчетов. Вот их наклон к изменению, который подтверждает спекуляции Тони о причине этого:
Я работаю в группе установки NT в PSS в MS (которая обрабатывает устранение неполадок синим экраном). Я могу заверить вас, что большинство людей, с которыми я разговариваю, не знаю, что делать с информацией на синем экране 4,0. Я уверен, что если вы видели остановку 0xA с NAIFILTR.SYS по всему стеку, который вы знаете обновить антивирусную программу, но большинство людей не делают это подключение, и действительно они не понимают, что код остановки и парамы полезны для них. Люди, которые понимают, как интерпретировать данные синего экрана, вероятно, раздражаются, но, к сожалению, они являются меньшинством.
Как я говорил в последнем бюллетене, я чувствую, что Корпорация Майкрософт должна нести NT 4.0 Blue Screen вперед, сохраняя загруженный список драйверов и дамп стека. Я также думаю, что они могут сделать синий экран лучше, предоставляя больше информации, не менее. Например, почему бы не показать имя выполняемого в данный момент процесса во время сбоя? Или есть больше вызовов BugCheck передать адрес сбоя, а не только адрес, который произошел сбой? Основная причина, по которой PSS столкнулась с таким количеством клиентов, которые не помыслят о синем экране, заключается в том, что Корпорация Майкрософт никогда не писала документацию о том, как читать его. По крайней мере часть вины за незнание пользователей, поэтому лежит на собственных плечах Майкрософт.
Если вы хотите узнать больше о том, как происходит синий экран и что находится на (NT 4.) Синий экран, см. мою статью в декабре 1997 г. "Внутри синего экрана", из Журнала Windows NT (вы можете добраться до встроенной версии из http://www.sysinternals.com/publ.htm).
Как обычно, пожалуйста, передайте бюллетень друзьям, что вы думаете, может найти его интересно.
Спасибо!
-Метка
В последнем бюллетене я представил SDelete, безопасную программу удаления, которую можно использовать для восстановления данных файлов, а также для очистки свободного места диска ранее удаленных данных. Первая версия SDelete не смогла безопасно перезаписать имена удаленных файлов. Имя файла часто показывает конфиденциальную информацию, и использование SDelete для удаления файла с раскрывающимся именем может оставить доступ к этой информации. Чтобы устранить эту лазейку, я обновил SDelete не только для безопасной перезаписи данных файла, но и имен файлов. SDelete безопасно удаляет имя файла, переименовав файл 26 раз, заменив каждую букву в имени файла последовательными буквами алфавита, от "A" до "Z".
Скачайте SDelete версии 1.1 с полным исходным кодом по адресу http://www.sysinternals.com/sdelete.htm.
Исполняемые файлы и библиотеки DLL часто имеют строки, внедренные в них, которые могут выявить незадокументированные значения реестра и сообщения об ошибках, которые намекают на незадокументированные функциональные возможности. К сожалению, большинство системных dll-файлов Windows NT/2K и EXEs записываются для использования строк символов Юникода, в то время как традиционные средства поиска строк, такие как Grep, извлекают только строки ASCII. Я написала первую версию служебной программы Strings несколько лет назад, чтобы сканировать двоичные файлы для строк символов ASCII или Юникода. Я использовал его много раз в моих исследованиях внутренних элементов NT, чтобы помочь выяснить, что Корпорация Майкрософт не документирует.
Строки всегда имели серьезный недостаток, хотя и это было его неспособность взять выражение подстановочной карточки в качестве описателя файла, чтобы вы могли сканировать несколько файлов в одном снимке. Я хотела, чтобы эта функция, учитывая имя значения реестра, например, я мог бы легко определить, какие системные библиотеки DLL ссылаться на него.
Наконец, я обновил строки, чтобы получить полные имена файлов с подстановочными карточками, а также рекурсировать каталоги. Если в строке выражения с подстановочными карточками заданы автоматические префиксы выходных строк с именем файла, в который найдена строка, поэтому можно сделать следующее:
strings *.dll | grep SafeBoot
Просмотр выходных данных этого выражения (версия Grep доступна в служебных программах Windows NT Resource Kit Posix) сообщает о том, какие системные библиотеки DLL проверяют раздел реестра SafeBoot в Windows 2000. Строки также очень полезны для просмотра новых значений реестра системных БИБЛИОТЕК DLL, драйверов и исполняемых файлов Win2K. Например, я использовал строки для сравнения значений реестра, на которые ссылается стек TCP/IP NT 4.0 с пакетом обновления 4 (SP4) (tcpip.sys), с теми, на которые ссылается стек TCPIP Windows 2000. Ниже приведено около половины значений, которые являются новыми для стека TCPIP Win2K (все из которых находятся под HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters):
ReservedPorts
DefaultGatewayMetric
InterfaceMetric
TempLeaseExpirationTime
TempIpAddress
TempMask
DhcpDefaultGateway
TcpWindowSize
TcpInitialRTT
TcpDelAckTicks
EnableTrafficControl
EnableTOSetting
MaxNormLookupMemory
MaxSendSegments
MaxFreeConnections
MaxFreeTWTcbs
FFPFastForwardingCacheSize
Я не задержу свое дыхание, пока Корпорация Майкрософт не задокументируйте все новые параметры конфигурации стека.
Строки версии 2.0 можно скачать по адресу http://www.sysinternals.com/misc.htm.
Вы когда-нибудь хотели знать, кто входил в удаленную систему NT? Если да, то вы хотите скачать LoggedOn. LoggedOn — это простая служебная программа, которая сообщает, что пользователи вошли в систему в интерактивном режиме на локальный компьютер или удаленный компьютер, а также то, что пользователи вошли через подключения к ресурсам (например, файловый ресурс или общий ресурс принтера). Ниже приведен пример выходных данных LoggedOn:
C:\>loggedon main
LoggedOn v1.0 - Logon Session Displayer
Copyright (C) 1999 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Users logged on locally:
MAIN\Administrator
Users logged on via resource shares:
MAINDOM\MARK
Windows NT и Win2K не предоставляют API, которые приложения могут использовать для определения того, кто вошел на компьютер, но LoggedOn определяет это, просмотрев разделы реестра, загруженные в дерево реестра системы HKEY\USERS . Профили любого пользователя, вошедшего в систему в интерактивном режиме, загружаются в этот ключ, а профили имеют имена, определяющие идентификатор безопасности (идентификатор безопасности) связанной учетной записи пользователя профиля. Например, если открыть Regedit и посмотреть под ней HKEY_USERS вы увидите примерно следующее:
HKEY_USERS\.DEFAULT\S-1-5-21-734676951-386466661-1233803906-500
Здесь только один пользователь вошел в систему в интерактивном режиме. Вы можете сообщить своему локальному администратору или администратору домена, так как параметр RID (Относительный идентификатор) равен 500, что является резервом RID NT для учетных записей администраторов.
С помощью API, которые позволяют одной системе просматривать реестр другой системы, LoggedOn считывает ключ HKEY_USERS удаленного компьютера и преобразует идентификаторы SID, которые он находит в имена учетных записей. Чтобы определить, кто вошел в систему с помощью общей папки ресурсов LoggedOn, использует API NET, который задокументирован в пакете SDK. Средство командной строки Net широко использует API NET. Побочным эффектом Ведения журнала с доступом к реестру удаленной системы является то, что учетная запись, которую вы запускаете LoggedOn, всегда будет отображаться как вход в удаленную систему через общую папку ресурсов в выходных данных LoggedOn.
Вы можете скачать LoggedOn с полным исходным кодом по адресу http://www.sysinternals.com/misc.htm.
Файлмон версии 4.13 только что выпущен, обновление, которое отражает изменения драйвера файлов windows NT и исправляет ошибку, которую я непреднамеренно ввел в драйвер 4.12. Драйвер фильтра 4.13 имеет следующие изменения:
- Он использует тип синхронизации ресурсов для защиты некоторых внутренних структур данных.
- он обрабатывает новый IRP Win2K, IRP_MJ_PNP_POWER
Тип синхронизации ресурсов практически не выполняется в пакетах разработки драйверов драйверов устройств Win2K для Windows NT 4.0 и Win2K. Руководство по проектированию даже не упоминает ресурсы, в то время как их функции описаны в справочнике в разделе "Подпрограммы поддержки руководителей". Ресурсы — это полезный механизм защиты структур данных, которые могут быть одновременно считываются различными потоками, но для этого требуется монопольный доступ потоком во время обновления. Таким образом, они являются блокировками чтения и записи, приобретенными для общего доступа читателями и эксклюзивным доступом авторов. Драйверы файловой системы используют обширные ресурсы, поэтому я чувствовал, что необходимо обновить Filemon, чтобы использовать их в соответствующем случае.
Filemon версии 4.13 также обрабатывает новый IRP_MJ_PNP_POWER IRP, чтобы он был драйвером фильтра питания и подключаемого модуля и воспроизведения при запуске в Win2K. Единственное требование драйвера фильтра файловой системы в обработке irPs этого типа заключается в передаче их устройствам файловой системы, к которому подключен фильтр.
Вы можете скачать Filemon версии 4.13 с полным исходным кодом по адресу http://www.sysinternals.com/filemon.htm.
DebugView/EE — это универсальный монитор выходных данных отладки, который можно использовать для записи локальных или удаленных выходных данных отладки, созданных программами Win32 или драйверами устройств в режиме ядра в win95, Win98, WinNT и Win2K. Его полезность ограничена в средах, когда пользователь испытывает сбой с помощью драйвера устройства, однако все отладочные выходные данные DebugView фиксируется до потери сбоя. Последняя версия DebugView/EE устраняет эту проблему в Windows NT/2K. Если пользователь записывает выходные данные в режиме ядра, созданные драйвером устройства, и пользователь настроил NT для сохранения аварийного дампа, то DebugView/EE может извлечь выходные данные отладки из файла дампа при перезагрузке системы. Использование правки DebugView/EE|Выбор меню аварийного дампа процесса для проверки дампа памяти для выходных данных отладки. Эта функция позволяет пользователям отправлять текстовый файл, содержащий выходные данные отладки, созданные драйвером вплоть до момента сбоя.
Скачайте DebugView/EE версии 3.1 по адресу http://www.sysinternals.com/debugview.htm.
Мой столбец журнала NT "NT Internals" в марте 1999 г. теперь включен. Узнайте о сетевой архитектуре NT сверху вниз, в том числе о том, какие API он реализует, как интерфейсы стека протоколов с api и как поставщики оборудования записывают сетевые драйверы для работы с драйверами протокола. Кроме того, узнайте о некоторых новых возможностях сети Win2K, включая десериализированную NDIS и поддержку ATM.
Чтение "Внутри сети NT" и другие последние столбцы внутренних компонентов NT в строке http://www.sysinternals.com/publ.htm.
Июньской части столбца Windows NT Magazine является "Внутри EFS, часть 1". В этой статье описывается архитектура файловой системы Майкрософт для шифрования (EFS) и подробное описание действий EFS, описанных при шифровании файла. EFS предоставляет прозрачное средство шифрования для дисков WIN2K NTFS и корпорация Майкрософт разработала его специально для решения возможности средства NTFSDOS читать файлы NTFS без учета их безопасности. Этот столбец будет доступен в строке в течение трех месяцев.
Два информационных бюллетеня назад я говорил о том, как API EFS, необходимые для резервного копирования и восстановления зашифрованных файлов, не являются незадокументированы. К сожалению, эти API-интерфейсы по-прежнему не документируются в текущем выпуске MSDN. Однако я был проинформирован о том, что корпорация Майкрософт отправляет документацию, которая помечена как "Конфиденциальность Майкрософт", ее партнерам и поставщикам программного обеспечения резервного копирования. Кроме того, Дэвид Голдс, менеджер программы файловых систем в Корпорации Майкрософт, представил беседу о улучшениях файловой системы для Win2K на недавней конференции Microsoft TechEd в Далласе. В презентации слайды, для которых вы можете просмотреть в строке http://www.teched99.com/slides/1-337.ppt, он упоминает, что API резервного копирования не являются незадокументированы, но вы можете ошибться с ним в документации. К сожалению, его адрес электронной почты не указан на слайдах.
Посетите сведения о подписке http://www.winntmag.com Windows NT Magazine.
NTFrob — это служебная программа, выпущенная несколько лет назад, которая позволяет точно настроить длину квантовых вычислений переднего плана и фоновых процессов в NT 4.0. NTFrob изменяет структуры данных внутри ядра NT, поэтому он очень зависит от пакета обновления. С момента выпуска NT 4.0 с пакетом обновления 5 (SP5) я был скучен с запросами, запрашивая, когда я собираюсь освободить NTFrob версии 1.5, обновление SP 5. Ответ заключается в том, что обновление ожидается. Я ожидаю, чтобы корпорация Майкрософт предоставила подписчикам MSDN с пакетом обновления 5 (SP5), включая сведения об отладке. Для обновления NTFrob для новых пакетов обновления требуется отладочная информация.
NtFrob для NT 4 с пакетом обновления 4 (SP0-4) можно скачать по адресу http://www.sysinternals.com/ntfrob.htm.
Несколько месяцев назад я выпустила последовательный и параллельный монитор портов Win9x/NT/2K в System Internals. Портмон позволяет точно видеть, как приложения взаимодействуют с последовательными и параллельными портами, включая данные, которые они отправляют и получают. Его можно использовать для просмотра сеансов телефонного подключения, laplink serial connections или действия принтера. Портмон был огромным хитом, и он недавно получил 5 звезд из библиотеки программного обеспечения Ziff-Davis, самый высокий рейтинг возможно. Другие средства внутренних систем, которые заработали 5 звезд, включают Regmon, NTFSDOS и BlueSave.
Скачать Portmon по адресу http://www.sysinternals.com/portmon.htm.
CompuWare NuMega Labs выпустила DriverStudio, комплексный набор средств для разработчиков драйверов устройств Windows 9x/NT/2K. Она включает SoftICE 4.0, BoundsChecker для драйверов, VtoolsD, DriverAgent, DriverWorks, FieldAgent для драйверов, а в будущем добавит TrueTime для драйверов и TrueCoverage для драйверов. Как я сказал в последнем бюллетене, это должен быть набор средств разработчика. NuMega также запустил веб-сайт, ориентированный на разработчиков драйверов устройств под названием Driver Central . http://www.numega.com/drivercentral/default.asp.
Теперь вы можете скачать выпуск пакета SDK для платформы Майкрософт в июне http://www.msdn.microsoft.com/developer/sdk/platform.asp.
Одним из самых больших захватов администраторов систем NT и пользователей является NT "DLL Hell". Ада DLL является результатом многих приложений, обновляющих библиотеки DLL системы ключей с версиями, которые они объединяют. Приложения обычно делают это так, чтобы они могли гарантировать правильную работу, однако при замене библиотеки DLL они много раз прерывают работу других приложений путем установки несовместимых версий или даже "обновления" библиотеки DLL до более старой версии.
Корпорация Майкрософт рассмотрела проблемы с управлением версиями DLL в Win2K с введением системы защиты файлов (SFP). На самом деле, его имя скоро изменится на защищенную версию файлов Windows (МПП), но по состоянию на бета-версию 3 (сборка 2031) она по-прежнему SFP. SFP реализуется в библиотеке DLL с именем sfc.dll, которую загружает процесс Winlogon (winlogon.exe) при загрузке системы. SFP включает встроенный список около 3000 стандартных системных БИБЛИОТЕК DLL Win2K, исполняемых файлов (.exe), файлов установки (INF), драйверов (.sys) и файлов шрифта (.fon), установленных в 30-40 разных каталогах. При инициализации SFP выполняет операцию каталога с уведомлением об изменении для каждого каталога, содержащего файлы, которые он защищает. При обнаружении незаконного изменения файла он всплывает в диалоговом окне, информирующем текущего пользователя, записывает даже в журнал событий и заменяет измененный файл резервным копированием, хранящимся в %systemroot%\system32\dllcache. Если файл резервной копии, который SFP ищет в dllcache отсутствует или также был изменен, SFP извлекает новую копию из установочного носителя Win2K.
Чтобы узнать, какие файлы SFP защищает, можно использовать служебную программу Strings, упомянутую в другом месте этого бюллетеня, чтобы дампа имен строк Юникода, внедренных в %systemroot%\system32\sfc.dll.
Единственными служебными программами, которые могут обновлять системные файлы, являются hotfix.exe, пакеты обновления (update.exe), установки обновлений и служба обновления Win2K. Как эти средства обходят SFP? Они временно отключают его, вызвав экспортированную функцию sfc.dll SfcTerminateWatcherThread, и они обязательно отражают обновления в подкаталоге dllcache. Обратите внимание, что Win2K требует, чтобы все системные файлы были цифрово подписаны корпорацией Майкрософт, поэтому обычно невозможно обновить системный файл с произвольной версией.
Программы Win32 могут отслеживать изменения в каталоге с помощью API FindFirstChangeNotification и FindNextChangeNotification Win32. Однако эти API-интерфейсы просто сообщают приложению о том, что что-то изменилось; Они не сообщают приложению точно о том, что изменилось. Поэтому приложению требуется сканировать весь каталог, чтобы определить, какие файлы или подкаталоги могут быть изменены. SFP использует API NT Native для выполнения запроса на уведомление об изменении, в котором NT сообщает о том, какие файлы или вложенные каталоги изменяются в отслеживаемых каталогах. Функция SFP использует имя NtNotifyChangeDirectoryFile, и, как и 90% собственного API NT, она не выполняется. Найдите апплет в System Internals в ближайшем будущем, который показывает, как использовать NtNotifyChangeDirectoryFile.
В столбце "Внутренние компоненты NT" в сентябре "Улучшения надежности Win2K", часть 2" подробно описывается SFP.
Одним из наиболее часто задаваемых вопросов, которые я получаю от посетителей System Internals, является "как закрыть файлы, открытые пользователями из сети?" Если у пользователя есть файл или каталог, открытый удаленно, невозможно удалить, переименовать или обновить файл или каталог локально. Аналогичный вопрос: "Разделы справки увидеть, какие файлы пользователи открыли из сети?" Оба этих вопроса отвечают с помощью программы командной строки Net, которая поставляется с Windows NT/2K. Чтобы узнать, какие файлы открыты, просто введите net file.
Вы получите список открытых имен файлов, соответствующих идентификаторов имени файла и имена пользователей, имеющих открытые файлы. Чтобы закрыть один из файлов, которые вы видите, откройте тип net file <id> /close. Чтобы просмотреть файлы, открытые локально, можно использовать средства NTHandle или HandleEx.
API, лежащие в основе функции просмотра и закрытия файлов команды Net, описаны в пакете SDK платформы и в библиотека MSDN. Используйте API NetFileEnum для перечисления открытых файлов и API NetFileClose, чтобы закрыть открытый файл. API-интерфейсы фактически позволяют перечислять открытые файлы на удаленных серверах, то, что команда Net не разрешает.
NTHandle доступен по адресу http://www.sysinternals.com/nthandle.htm. HandleEx доступен по адресу http://www.sysinternals.com/handleex.htm.
Win2K представляет новый API под названием AWE (расширения адресного окна), который приложения с большим объемом памяти могут использовать для прямого доступа к большому объему физической оперативной памяти , даже более 3 ГБ, верхний предел ОЗУ, который приложение Windows NT может адресовать в своем виртуальном адресном пространстве. На самом деле, если в системе x86 есть PSE (расширения размера страницы) и более 4 ГБ ОЗУ, приложение может использовать AWE для использования всей памяти компьютера. Поэтому этот API идеально подходит для голодных приложений памяти, таких как веб-серверы и серверы баз данных. В следующий раз я расскажу вам, как использовать API из приложений Win32 и драйверов устройств.
Хотя я на тему голодных в памяти приложений, вот совет для всех, кто пишет приложение, которое кэширует файлы (например, веб-сервер). Диспетчер кэша Windows NT делит память кэша на слоты кэша размером 256 КБ, называемые представлениями. Если размер файла меньше 256 КБ кэшируется, диспетчер кэша должен по-прежнему назначить файл целым слотом 256 КБ, что означает, что часть виртуальной памяти кэша будет потеряна. Таким образом, в виртуальной памяти собственного приложения более высока производительность кэша файлов меньше 256 КБ, а файловая система используется для кэширования файлов размером более 256 КБ. IIS 5.0 использует этот трюк.
Благодарим вас за чтение бюллетеня внутренних систем.
Опубликовано в субботу, 19 июня 1999 г. 7:14 вечера по оттох