Sysinternals 新闻稿第 3 卷，第 1 号 - Sysinternals

项目
08/03/2023

http://www.sysinternals.com
版权所有 (C) 2001 Mark Russinovich

2001 年 4 月 18 日 - 本期内容：

编辑
SYSINTERNALS 的新增功能
- PsService v1.01
- PsFile v1.0
- PsExec v1.11
- HandleEx v4.0
- DebugView v4.11
- 在 Windows 2000 中，第 3 版。
- 2 月 Windows 2000 杂志
- Microsoft 的 Sysinternals
内部信息
- 超酷键盘快捷方式
- PnP 调试消息
- 逆向工程裁决
- 新的 Windows XP 系统调用
- 断开连接的网络
- WinDev
- TechEd US
即将推出
- 内部 Windows XP 预提取

赞助商：WINTERNALS SOFTWARE ~~~~

Sysinternals 通讯由 Winternals Software 赞助，网址为 http://www.winternals.com. Winternals Software 是 Windows NT/2K 高级系统工具的领先开发者和提供商。 Winternals Software 产品包括用于 Windows NT 4.0 的 FAT32、NTFSDOS 专业版（用于 DOS 的读/写 NTFS 驱动程序）和远程恢复。

Winternals 自豪地宣布，Defrag Commander NE 版本 1.2 是一种低成本且易于使用的企业碎片整理解决方案，它为其现有的 Windows 95/98/Me 和 Windows 2000 支持添加了 NT 4 支持。 Defrag Commander NE 利用 Windows 2000 和 Windows 95/98/Me 的内置碎片整理程序，并为 Windows NT 4 添加了自己的强大碎片整理程序。现在，你可以通过简单的 MMC 管理单元在整个 Windows 企业中管理碎片整理计划，甚至无需在 NT 或 Windows 2000 系统上安装任何客户端软件。只需 169 美元即可在线购买 10 个系统许可证，并提供大幅数量折扣。有关详细信息，请访问 http://www.winternals.com。

大家好，

欢迎阅读 Sysinternals 新闻稿。本通讯目前有 31500 名订户。

安装 Windows XP beta 版时，你首先注意到的是重新设计的用户界面，名为 Luna。 Luna 外观遍布界面的所有方面，从启动菜单的行为到应用程序菜单和对话框的设计。此总转换通过使用“主题”引擎来实现。主题样式文件中描述了主题（以 .msstyles) 结尾的文件），而 Luna 主题文件 luna.msstyle位于 \Windows\Resources\Themes\Luna 中。在同一目录下，你将找到一个名为 Shell 的子目录，shellstyle.dll 位于这里。目前还不清楚 XP 如何使用 DLL - 它由资源管理器加载，其中隐藏了 HTML 样式表，但没有导出。由于 comdlg.dll 和 kernel32.dll 会导入它，并且每个应用程序都会获取这些 DLL 的副本，因此每个进程还会获取主题客户端库的 \Windows\System32\UxTheme.DLL 加载副本。此 DLL 导出函数，如 IsThemeActive、IsAppThemed、GetCurrentThemeNameDrawThemeBackground 和 GetThemeColor。

注册表是指定当前主题和配置主题普遍性的位置。在下方 HKEY_CURRENT_USER\Software\Microsoft\Plus!\Themes 查找，你将找到一个名为 Apply 的键，其中你会看到指定主题应处于活动状态的位置的值（如“颜色”和“图标”）。在同一键下， Current 子项具有当前主题的 .msstyles 文件的路径。

鉴于“外观”已成为 WinAmp 和 Windows Media Player 等应用程序的狂潮，你以为 Microsoft 会发布一个工具，让第三方开发自己的主题，或者至少记录 .msstyles 文件和 shellstyle DLL 的格式，以便第三方可以开发主题编辑器。然而，你错了。在“Microsoft Windows XP：面向开发人员有哪些内容？”（在 http://msdn.microsoft.com/library/default.asp?URL=/library/techart/winxpintro.htm) 线上发布），Microsoft 明确表示他们无意允许第三方主题：

“乍一看，多种 Windows XP 样式的潜力可能类似于 Windows Media Player 等应用程序中的皮肤功能，但存在差异。主题会更改操作系统的视觉样式，但仍提供与早期版本的 Windows 一致的 UI。这一点很重要，因为主题在系统范围内应用。适用于应用程序外观的更改（例如删除按钮）不适用于操作系统级别。主题文件格式不是公共的；Microsoft 保留主题的设计控件，以实现一致的用户界面，并确保设计连续性。 Windows XP 不会提供主题开发人员工具包。”

我相信他们提出这样的立场的理由是，第三方主题可能会以某种方式破坏 UI，用户会致电 Microsoft 支持人员寻求帮助。为什么他们对 Windows Media Player 没有同样的恐惧，我不知道。不过，有一些方法可以将类似主题的外观应用于桌面和应用程序。访问 http://www.wincustomize.com/ 查找 Windows 桌面外观，如新的 Aqua-Soft（WindowBlinds 外观 - http://www.windowblinds.net），为 Windows 提供 Apple OS X 桌面的外观。鉴于皮肤社区坚持弄清楚如何给所有发布的内容切换皮肤，我相信现在有人正在对 Microsoft 的主题格式进行逆向工程。无论 Microsoft 关于控制主题的政策如何，不会等太久，就会有人发布主题编辑器。

那么，当 Windows XP 主题编辑器和第三方主题开始出现时，Microsoft 会怎么做呢？我们将拭目以待，但 Apple 的行为可能会让我们预览效果。几天前，苹果发布了一家公司为 Mac OS 开发主题编辑器的停止和停止命令：http://www.macworld.co.uk/news/main_news.cfm?NewsID=2773. 主题开发人员请注意。

请将新闻稿传递给你认为可能对其内容感兴趣的好友。

谢谢！

-马克

SYSINTERNALS 的新增功能

PSSERVICE V1.01

我记得，NT 4 和 Win2K 资源工具包都有命令行服务控制实用工具 SC。 SC 允许查看和更改本地或远程系统上 Win32 服务的状态和配置。 PsService 是 SC 的免费软件克隆，具有一些额外的功能。

首先，PsService 允许使用备用用户凭据连接到远程系统。如果运行它的帐户对远程系统没有管理权限，但你有权访问具有管理权限的帐户，这非常有用。第二个是 PsService 的搜索功能。如果你忘记了网络中哪个系统正在运行 DNS、DHCP 或其他服务，你会发现搜索工具很有用，因为它允许你指定服务名称，并报告运行该服务的计算机。

PsService 依赖于服务控制管理器 API，可以在平台 SDK 中找到完整的文档，PsService 不需要安装客户端软件。

在 http://www.sysinternals.com/ntw2k/freeware/psservice.shtml. 下载 PsService v1.01

PSFILE V1.0

PsFile 是我为响应某些内容的请求而创建的工具，它克服了 Windows NT/2K 中“net file”命令的限制。可以使用 NT 和 Win2K 上的内置“net”命令和“文件”选项列出其他计算机在系统导出的共享上打开的文件。但是，net 命令会截断长路径名称，并且仅适用于本地系统。

PsFile 使用与 net 命令相同的 API（在平台 SDK 中恰如其分地记录为“Net”API），但它不会截断文件名，可以在本地和远程工作，无需安装客户端软件。

在 http://www.sysinternals.com/pstools.htm. 下载 PsFile v1.0

PSEXEC V1.11

PsExec 是 Windows NT/2K 的命令行应用程序，可用于在远程系统上执行程序。它特别强大，因为它远程启用控制台程序，以便你以交互方式运行它们。例如，如果使用 PsExec 在远程系统上启动命令提示符可执行文件 (cmd.exe)，则实际上具有远程 shell，并且无需安装任何客户端软件。

除了充当轻型 telnet 外，PsExec 还允许远程启用“仅本地”应用程序。显示系统网络配置的内置工具 IpConfig 无法显示远程系统的配置。但是，使用 PsExec 可以远程启动它，并在本地查看其输出。

在某些情况下，运行应用程序的帐户非常重要。应用程序可能需要在帐户中运行，以便在正确的安全上下文中更改注册表或文件。在其他情况下，可能需要以与运行 PsExec 的应用程序不同的方式运行应用程序，有时可能需要让远程应用程序在系统帐户中运行。 PsExec 支持所有这些情况。

默认情况下，PsExec 在“模拟”安全上下文中执行程序。这意味着，如果在管理员帐户中运行 PsExec，远程进程将在管理员的帐户中运行。由于模拟功能受到限制，远程进程无法访问远程系统上的网络资源。如果在 PsExec 的命令行上指定用户名和密码，PsExec 将在备用帐户中启动远程进程，并且远程进程有权访问可从该帐户访问的任何网络资源。最后，命令行选项允许你指示 PsExec 在系统帐户（与运行 Win32 服务的帐户相同）中运行远程进程。

在 http://www.sysinternals.com/ntw2k/freeware/psexec.shtml. 下载 PsExec v1.11

HANDLEEX V4.0

HandleEx 是一个多方面的工具，可显示计算机上处于活动状态的进程列表，以及它们已打开的操作系统资源的句柄以及已加载的 DLL。它的搜索功能以及进程、句柄和 DLL 属性的详细呈现使 HandleEx 成为跟踪 DLL 版本问题、处理泄漏以及访问特定文件或目录的进程的完美工具。

如果一直在关注 Sysinternals 更新，你会注意到 HandleEx 在过去几个月中推出了两个主要版本号。第一个主要更新 v3.0 引入了许多功能，例如进程视图中的应用程序图标、所有列表视图项的工具提示、更高效的刷新以及改进的搜索功能，你可以在查找对话框中单击结果项，让 HandleEx 跳转到相应的句柄或 DLL 条目。

但是，对于开发人员来说，也许最有用的功能是“刷新突出显示”和重定位 DLL 突出显示。刷新突出显示是指刷新视图时 HandleEx 的行为。刷新前不存在的新项（包括进程、句柄或加载的 DLL）以绿色突出显示，而不再存在的项则以红色突出显示。除了在视觉上提示更改外，这还可以让你生动地看到正在进行的句柄泄漏，其中新打开的句柄在刷新后以绿色显示。

HandleEx 重定位的 DLL 突出显示与 DLL 重定位相关，而该术语描述了 Windows 中模块加载程序的行为；在该行为中，它无法遵循开发人员在生成 DLL 时指定的首选“基址”。链接器（用于 DLL 或 EXE 生成最后阶段的工具）为 DLL 生成的代码具有 DLL 内部内存引用集，假设加载程序将遵循 DLL 的基址。加载从基址开始并容纳已加载 DLL 映像大小的 DLL 的过程中，内存范围必须可用，DLL 才能在其首选基址处加载。当多个进程采用基址时，将实现内存使用效率，因为所有进程共享相同的 DLL 代码内存。

当加载程序无法遵循 DLL 的基址时（例如，当另一个已使用所需地址范围时），加载程序必须执行“重定位”，这涉及到更新所有 DLL 内部内存引用，以反映 DLL 的实际加载地址。除了减慢进程的加载时间（通常难以察觉），重定位的 DLL 映像不能与在首选基址加载 DLL 的其他进程共享。这意味着可以有效地获取消耗内存的 DLL 的第二个副本。

处于 DLL 模式时，可以选择“突出显示重定位的 DLL”选项，从而在 HandleEx 中显示（黄色）未在其首选基址处加载的 DLL 的条目。开发人员可以重置其 DLL 基址，以避免重定位。

HandleEx 跳转到版本 4.0 怎么办？此最新版本的 HandleEx 为 Win9x/Me 平台带来了完整的句柄查看。现在，你可以选择一个进程并查看它们已打开的句柄，这与在 WinNT/2K/XP 上运行 HandleEx 时相同。不仅如此，而且就像在 WinNT/2K/XP 上一样，查看事件、互斥体和信号灯的属性会显示有关其状态的信息（持有、标志）。

在 http://www.sysinternals.com/ntw2k/freeware/handleex.shtml. 下载 HandleEx 4.0

DEBUGVIEW V4.11

DebugView 是一种开发人员实用工具，可用于捕获来自本地系统或远程系统上的应用程序或驱动程序的调试输出，甚至可以同时从多个系统捕获调试输出。此最新版本增加了与 Windows XP Beta 2 的兼容性、一些可用性功能和面向 WinNT/2K/XP 上的设备驱动程序开发人员的功能。

DebugView 的筛选对话框允许定义包含和排除筛选器掩码，以缩小你感兴趣的调试输出范围。此外，最多可以指定 5 个不同的突出显示筛选器，每个筛选器具有不同的可自定义颜色。以前，如果项目需要不同的筛选器，则必须在每次切换项目时重新输入筛选器。使用 DebugView 4.11，可以将筛选器保存到文件，以便快速重新加载。与以前一样，DebugView 从上一次退出时处于活动状态的筛选器开始。

有时需要捕获调试输出跟踪，以供以后分析或与其他跟踪进行比较。在新版本的 DebugView 之前，查看日志文件的唯一方法是将其加载到文本编辑器中，这意味着无法应用有用的突出显示筛选器。现在，你可以将 DebugView 日志文件加载回 DebugView，从而可以按照最初捕获它时看到的方式查看输出。使用多个 DebugView 窗口可以比较跟踪。

最终的新功能（启动时日志记录）补充了 DebugView 在 NT/Win2K 中的故障转储支持。借助 DebugView 的故障转储支持，你可以从设备驱动程序捕获输出，如果驱动程序使系统崩溃，并且你启用了故障转储（完全或内核），请使用 DebugView 从转储中提取驱动程序的调试输出 - 使你能够看到驱动程序的输出，一直持续到崩溃。

通过启动时日志记录，可以捕获启动过程中作为启动或系统启动驱动程序加载的驱动程序的输出。启用启动时日志记录后，DebugView 驱动程序在启动期间捕获并缓冲最多 1 MB 的调试输出。系统启动后，运行 DebugView 应用程序会导入缓冲输出，以供查看。如果驱动程序在启动期间崩溃，并启用了故障转储，则 DebugView 的故障转储支持可让你看到在崩溃之前生成的驱动程序的输出。

在 http://www.sysinternals.com/ntw2k/freeware/debugview.shtml. 下载 DebugView v4.11

在 Windows 2000 中，第 3 版

Windows 2000 内部版本的官方书籍现已推出！此版本由大卫·所罗门 (www.solsem.com) 和马克·鲁西诺维奇共同创作，范围比上一版本增大 40% 以上，新增网络、即插即用、电源管理、服务、注册表、WMI、启动和关闭以及存储部分。它还包括一张 CD，其中包含多个功能强大的工具，这些工具在其他地方都不可用，用于调查 Windows 2000 内部版本。

如果你转到该书的 Amazon.com 页面 http://www.amazon.com/exec/obidos/ASIN/0735610215/o/qid%3D957490318/sr%3D8-1/ref%3Daps%5Fsr%5Fb%5F1%5F1/103-5793119-3499040/systemsinternals/107-2386425-6078131，你会注意到，自该书 9 月发布以来，用户只发布了两条评论。如果你有这本书，我们强烈建议你与其他潜在读者分享你的观点。

查看该书的目录并立即订购 http://www.sysinternals.com/insidew2k.htm.

2 月 WINDOWS 2000 杂志

请查看 2 月期的 Windows 2000 杂志，了解有关 NT/Win2K 故障转储分析的文章。本文首先介绍配置故障转储的基础知识，并介绍了操作系统如何创建故障转储（并包括转储为何无法生成的提示）。然后，我介绍了在何处可以获得最新的转储分析工具，并逐步讲解如何使用功能强大的 Microsoft 新实用工具 Kanalyze。最后，我快速介绍了如何使用内核调试器来检查转储。即使只有一小部分转储通过分析揭示了其原因，你也应该会发现这些信息很有用。

本文通过 http://www.sysinternals.com/publ.shtml 链接在线发布，可在其中找到指向我们所有出版物的链接。

SYSINTERNALS AT WWW.MICROSOFT.COM

自上次新闻稿发布以来，Sysinternals 已在更多 Microsoft 知识库 (KB) 文章中出现，我发现引用 Sysinternals 工具的总数达到 17。

Q274038：PRB：ASP 错误 8002801d“未注册库”
http://support.microsoft.com/support/kb/articles/Q274/0/38.ASP
本文将用户定向到 Regmon，以排查 Active Server Pages 错误。
Q232830：如何：确定文件句柄所有权
http://support.microsoft.com/support/kb/articles/Q232/8/30.ASP
想要了解哪个进程打开了文件？此知识库文章将你定向到 HandleEx。
Q2163868：PRB：使用文件时应用程序设置期间访问冲突
http://support.microsoft.com/support/kb/articles/Q216/3/68.ASP
如果 Visual Basic 安装程序应用程序尝试复制的文件正在使用，这些应用程序可能会崩溃。 HandleEx 是跟踪干扰进程的理想工具。
Q286198：如何：跟踪 DLL 文件上的“权限被拒绝”错误
http://support.microsoft.com/support/kb/articles/Q286/1/98.ASP
使用 Filemon（本文还提到了 Regmon）可以查看 COM 或 MTS 应用程序的哪个进程收到了“拒绝访问”错误。
Q246199：BUG：扩展存储过程中更改的区域设置可能会导致不正确的结果
http://support.microsoft.com/support/kb/articles/Q246/1/99.ASP
本文建议使用 ListDL 查看 SQL Server 使用的 C 运行时库版本。
问题 196453：排查 NTVDM 和 WOW 启动错误 http://support.microsoft.com/support/kb/articles/Q196/4/53.ASP 用户在启动 16 位应用程序时遇到问题，将用户指向 Filemon，以查看 16 位环境子系统 (NTVDM) 访问错误的文件。

内部信息

超酷键盘快捷键

你们中的许多人可能将新键盘上的 Windows 键视为只是占用空间的键。我一直这样认为，直到最近，我偶然发现了 Windows 键用于一个操作的快捷方式，我经常执行这个操作，现在这个键上的标识都磨没了。我会分享一些我认为有用的键盘快捷方式，所有这些快捷方式都适用于所有版本的 Windows。

操作	快捷键
启动任务管理器	ctrl + shift + escape
显示“系统属性”对话框	Windows + Break
最小化所有窗口	Windows + m
最小化所有窗口	Windows + M
打开“我的电脑”	Windows + e
搜索文件	Windows + f
打开“运行”对话框	Windows + r

在我通过尝试确定这些内容后，大卫·所罗门指出，它们在 Windows 2000 帮助中的“自然键盘快捷方式”中有所记录。

PNP 调试消息

如果你正在为 Windows 2000 开发即插即用驱动程序，你可能会惊讶地发现，你甚至可以促使 Windows 2000 零售版本在枚举和驱动加载进程中生成大量即插即用系统调试消息。让内核调试器在系统启动时中断，并将内部内核变量 PnpEnumDebugLevel 设置为 2（大多数消息触发器的级别为 1）。下面是你将看到的输出示例，其中显示了 PnP 管理器（软件枚举总线驱动程序）加载 swenum 驱动程序：

.
IopCallDriverAddDevice: Processing devnode 0xfe503208
IopCallDriverAddDevice: DevNode flags going in = 0x000019
IopCallDriverAddDevice: Will load driver
IopCallDriverAddDevice: Opening registry key Root\SYSTEM\0000
IopCallDriverAddDevice:         Class GUID is {4D36E97D-E325-11CE-BFC1-08002BE10318}
IopCallDriverAddDevice: Unable to open GUID\Properties key {4D36E97D-E325-11CE-BFC1-08002BE10318} - 0xc0000034
IopCallDriverAddDevice:         Value Service [Type 1, Len 14] @ 0xe14ee82c
IopCallDriverAddDevice:                 Service Name swenum
IopCallDriverAddDevice:                 DriverName is \Driver\swenum
IopCallDriverAddDevice:                 Driver Reference 0xff3a8af0
IopCallDriverAddDevice: Adding Services (type 0)
IopCallDriverAddDevice: Adding Services (type 1)
IopCallDriverAddDevice: Adding Services (type 2)
IopCallDriverAddDevice: Adding driver 0xff3a8af0
IopCallDriverAddDevice:         Routine returned 00000000
.

逆向工程规则

关注 Sysinternals 的人员知道，（除了 DDK 中随附的驱动程序源之外）我无权访问任何 Windows 源代码，并且我通过费力使用 SoftICE 和我自己的自定义反汇编程序来了解其实现的复杂之处。

我看过一篇文章“Reverse Engineering: Necessary Function or Illegal Activity?”（逆向工程：必要功能还是非法活动？）（http://www.planetit.com/techcenters/docs/security/news/PIT20010123S0001)，其中描述了美国第九巡回上诉法院在 1 月份对 Sony 与 Connectix 之间案件的裁决，而你们中同样感兴趣的人也会对此感兴趣。在 Connectix 开发其“虚拟游戏站”程序后（该程序允许人们在电脑上运行索尼游戏机游戏），索尼对 Connectix 提起诉讼，法院裁定，Connectix 通过对 PlayStation 进行逆向工程（通过反汇编），以允许他们开发仿真器的行为在法律范围内。

虽然逆向工程的合法性范围，特别是考虑到禁止逆向工程的软件拆封许可的范围仍然模糊不清，但此案结果支持逆向工程。

WINDOWS XP 内核更新

与 NT 4 和 Windows 2000 之间的移动不同，Windows XP 内核经历了更细微的更改，其中许多更改旨在提高性能。可供驱动程序开发人员使用的内核 API 已经充实了 200 多个新的导出内核函数，填补了之前的一些漏洞。例如，Filemon 和其他 Sysinternals 工具通过访问未记录的进程环境块来获取执行操作的进程的名称 - 在 Windows XP 中，它们将能够调用 PsGetProcessImageFileName。有近 30 个用于获取和设置进程属性的新 Ps 调用、用于对输出类型和调试级别进行分类的新调试输出 API，以及用于保存注册表配置单元的新系统调用。还有一些用于编辑与 Boot.ini 的 64 位 Windows XP 等效项（而不是存储在文件中） API，如 ZwQueryBootOptions、ZwSetBootEntryOrder 和 ZwDeleteBootEntry，存储在非易失性内存中。

但是，在内核之上有更重大的更改，其中大多数更改依赖于设备驱动程序或内核支持。例如，有一个系统还原服务，它借助文件系统筛选器驱动程序 (sr.sys) 跟踪对文件的更改，以便系统可以回滚到以前的时间点。有一个名为 volsnap.sys 的存储筛选器驱动程序，可以在文件系统驱动程序的配合下创建卷的时间点副本。有一个快速用户切换服务，该服务使用内核内置的终端服务支持，允许多个用户登录和切换，并改进了文件系统驱动程序提供的碎片整理 API 支持。

Microsoft 发布了一份白皮书，其中介绍了 http://www.microsoft.com/hwdev/Whistler/download/Whistler_kernel.zip. 的很多增强功能信息详细程度不同，许多有关实现和行为的问题未得到解答，但它是一个相当不错的整体回顾。当然，你可以查看未来的 Sysinternals 新闻稿和文章，以及我的 Windows 2000 杂志文章，找到一些答案。

断开连接的网络

我的大部分开发都以支持网络的应用程序为中心，但在 Windows 2000 上，当你启动默认配置中的断开连接的计算机（如笔记本电脑）时，无法测试此类应用程序。这是因为除非系统检测到网络连接，否则不会激活 TCP/IP 堆栈。这意味着，例如 dir \\laptop\c$（其中“laptop”是计算机的名称）和 ping 127.0.0.1 在断开连接的系统上都会失败。如果你有一台基于域的计算机，这也可能导致启动期间出现痛苦的延迟。

有两种解决方法。一种是安装 Microsoft 环回适配器，它是可使用硬件向导安装的虚拟网络适配器。第二种是禁用媒体感知，通过设置 Microsoft 知识库文章 Q239924 中所述的注册表值，防止系统检测到其断开连接：http://support.microsoft.com/support/kb/articles/Q239/9/24.ASP. 使用上述任一方法，TCP/IP 堆栈即使在断开连接的系统上也会处于活动状态，使你能够通过网络 API 和 UNC 路径访问本地系统（例如 \\laptop\c$）。

WINDEV

Windows 开发人员会议 Windev 将于今年 6 月 11 日至 15 日在波士顿举行。 Win32、系统和 .NET 编程中的所有一流人才都将参加，这是今年你可以参加的唯一一次由大卫·所罗门 (www.solsem.com) 和我共同介绍的 Windows 2000 内部会议。大卫和我将在第一天共同提供为期一天的“Windows 2000 基础知识”教程。我还会教授一个关于 Windows 中进程间通信机制编程和 Windows XP 中新增功能的课程。

你可以查看我的演讲摘要，并找到指向 Windev 网站的链接 http://www.sysinternals.com/ntw2k/info/talk.shtml.

TECHED US

TechEd 是 Microsoft 首屈一指的会议，吸引了 10000 人，过去几年的门票都售罄。今年将于 6 月 17 日至 21 日在佐治亚州亚特兰大举行，虽然重点是 .NET，但 Microsoft 邀请我介绍“Sysinternals 工具教程”和“Windows NT/2000 故障转储分析简介”。大卫·所罗门也将出席，介绍 Windows 2000 内存管理以及进程和线程内部。

在欧洲的人员可以在 7 月 3 日至 6 日于巴塞罗那举行的 TechEd Europe 看到大卫和我展示相同的内容。

查看我的摘要，并关注指向 TechEd 主页的链接 http://www.sysinternals.com/ntw2k/info/talk.shtml.

即将推出

WINDOWS XP 预取内部

Windows XP 中最明显的增强功能之一是其快速启动时间。预提取是改进的基础。 XP 在启动期间监视磁盘访问、存储信息，以便在后续启动中使用，在引用应用程序之前使用数据将应用程序加载到内存中。下次我会深入介绍预提取机制，解释 XP 如何实现它们。

感谢阅读 Sysinternals 新闻稿。

发布于 2001 年 4 月 18 日，星期三，晚上 7：04，ottoh

[通讯存档 ^][< 第 2 卷，第 5 号][第 3 卷，第 2 号>]

通过

Systems Internals 通讯第 3 卷，第 1 号