30 de julio de 2004: en este problema:

  1. EDITORIAL

    • Artículo de invitado de Dave Dave Dave sobre la profundización en los detalles del subproceso con el Explorador de procesos
  2. NOVEDADES DE SYSINTERNALS

    • Actualizaciones de herramientas
    • Sysinternals es un sitio de Windows XP Community Microsoft
  3. LLAMADA A CASOS DE ÉXITO DE SYSINTERNALS

    • Envíenos sus casos de éxito y ganar una camiseta de Sysinternals.
  4. ARTÍCULOS DE MAGAZINE

    • PsExec
    • El engaño de optimización de memoria
  5. CLASE DE SOLUCIÓN DE PROBLEMAS AVANZADA DE WINDOWS INTERNALS & PRÁCTICA

    • San Francisco: 27 de septiembre-1 de octubre
  6. PROGRAMACIÓN DE HABLA DE MARK

    • TechMentor
    • Windows conexiones
    • Foro de MICROSOFT IT

El Boletín de Sysinternals está patrocinioado por El software Dennals, en la Web en http://www.winternals.com. Los horarios de verano proporcionan intelligent recovery para microsoft Enterprise.

La próxima versión de Windows XP Service Pack 2 ofrece numerosas ventajas, pero puede dar lugar a comportamientos no deseados o imprevistos dentro del sistema operativo y dentro de las aplicaciones. Los Recovery Manager permiten revertir de forma segura y rápida los sistemas que se ven afectados negativamente por las revisiones y service pack, incluso si los sistemas se han representado como no arrancables. Para obtener más información sobre Recovery Manager y para solicitar un CD de evaluación, visite:http://www.winternals.com/es/solutions/recoverymanager.asp

EDITORIAL

Dave Dave y yo seguimos trabajando duro en la próxima edición de "Inside Windows 2000" (que se denominará "Windows Internals", cuarta edición) y esperamos que el proceso se complete en las próximas semanas. El libro, que trata Windows 2000, Windows XP y Windows Server 2003, muestra un crecimiento de aproximadamente el 20 % en la tercera edición. Creemos que encontrará el libro aún más valioso que la edición anterior porque, además de expandir el material existente y agregar nuevo texto para cubrir los cambios xp y 2003, hemos agregado material de solución de problemas para temas como el análisis de volcado de memoria, el inicio del sistema, la memoria, la CPU, el sistema de archivos y el registro.

Dado que me estoy centrando en finalizar el libro, este boletín es breve, pero continuaré con los boletines normales una vez que haya terminado el libro. Mientras tanto, voy a incluir un artículo invitado de Dave Dave Dave Sobre un uso más avanzado del Explorador de procesos que el que he abordado en el último boletín.

Disfrute y pase el boletín a las personas que cree que le van a interesar.

  • Mark Russinovich

Profundización en la actividad de subprocesos con el Explorador de procesos

Por Dave Dave (daves@..., http://www.solsem.com)

El Explorador de procesos proporciona un acceso sencillo a la actividad de subprocesos dentro de un proceso. Esto es especialmente importante si está intentando determinar por qué se está ejecutando un proceso que hospeda varios servicios (como Svchost.exe, Dllhost.exe, Inetinfo.exe o el proceso del sistema) o por qué se ha desahordo un proceso.

Para ver los subprocesos de un proceso, seleccione un proceso y abra las propiedades del proceso (haga doble clic en el proceso o haga clic en el elemento de menú Proceso- Propiedades) y haga clic en la pestaña > Subprocesos . Esto muestra una lista de los subprocesos del proceso, el porcentaje de CPU consumida (en función del intervalo de actualización configurado), el número de cambios de contexto al subproceso y la dirección de inicio del subproceso. Puede ordenar por cualquiera de estas tres columnas. Al seleccionar cada subproceso de la lista, el Explorador de procesos muestra el identificador del subproceso, la hora de inicio, el estado, los contadores de tiempo de CPU, el número de modificadores de contexto y la prioridad base y actual. Hay un botón Eliminar que finalizará un subproceso individual, pero se debe usar con mucho cuidado.

Los nuevos subprocesos que se crean se resaltan en verde y los subprocesos que se cierran se resaltan en rojo (la duración del resaltado se puede configurar con el elemento de menú Opciones- Configurar > resaltado). Esto puede ser útil para detectar la creación innecesaria de subprocesos que se produce en un proceso (en general, los subprocesos se deben crear al iniciar el proceso y no cada vez que se procesa una solicitud dentro de un proceso).

La diferencia del modificador de contexto representa el número de veces que el subproceso comenzó a ejecutarse entre las actualizaciones configuradas para el Explorador de procesos y es una manera diferente de determinar la actividad del subproceso que el porcentaje de CPU consumida, ya que muchos subprocesos se ejecutan durante un período de tiempo tan corto que rara vez (si es alguna vez) el subproceso que se está ejecutando actualmente cuando se produce la interrupción del temporizador de intervalo y, por lo tanto, no se cobran por su tiempo de CPU.

La dirección de inicio del subproceso se muestra con el formato "module!function", donde module es el nombre del .EXE o .DLL. El nombre de la función se basa en el acceso a los archivos de símbolos para el módulo, que se obtiene si configura el Explorador de procesos para que use el servidor de símbolos de Microsoft (consulte la ayuda, incluidas las herramientas de depuración de Microsoft para Windows, que puede descargar desde el sitio web de Microsoft enhttp://www.microsoft.com/whdc/devtools/debugging/default.mspx). Si no está seguro de cuál es el módulo, presione el botón del módulo. Se abrirá una ventana de propiedades de archivo del Explorador para el módulo que contiene la dirección de inicio del subproceso (por ejemplo, el .EXE o .DLL). Para los subprocesos creados por la Windows, el Explorador de procesos muestra la función pasada a , no la CreateThread función de inicio del subproceso CreateThread real. Esto se debe a que todos Windows subprocesos se inician en una función contenedora de inicio de procesos o subprocesos común ( BaseProcessStart o BaseThreadStart en Kernel32.dll). Si el Explorador de procesos mostrara la dirección de inicio real, la mayoría de los subprocesos de los procesos parecería que se han iniciado en la misma dirección, lo que no sería útil para intentar comprender qué código estaba ejecutando el subproceso.

Sin embargo, es posible que la dirección de inicio del subproceso mostrada no sea suficiente para identificar lo que hace el subproceso y qué componente dentro del proceso es responsable de la CPU consumida por el subproceso. Esto es especialmente cierto si la dirección de inicio del subproceso es una función de inicio genérica (por ejemplo, si el nombre de la función no indica lo que realmente está haciendo el subproceso). En este caso, el examen de la pila de subprocesos puede responder a la pregunta. Para ver la pila de un subproceso, haga doble clic en el subproceso de interés (o selecciónelo y presione el botón Pila). El Explorador de procesos muestra la pila del subproceso (usuario y kernel, si el subproceso estaba en modo kernel). Aunque los depuradores en modo de usuario (Windbg, Ntsd y Cdb) permiten adjuntar a un proceso y mostrar la pila de usuarios para un subproceso, el Explorador de procesos muestra la pila de usuario y kernel con un solo clic de un botón. También puede examinar las pilas de subprocesos de kernel y usuario mediante Livekd desde Sysinternals, pero es más difícil de usar. Tenga en cuenta que la ejecución de Windbg en modo de depuración de kernel local, que solo se admite en Windows XP o Windows Server 2003, no muestra pilas de subprocesos.

[Nota personal de Mark: esto me ayudó a resolver por qué Powerpoint se ahorcaba durante un minuto cada vez que lo iniciaba. He usado el Explorador de procesos para ver la pila de un subproceso en el proceso de PowerPoint. estaba esperando una llamada para conectarse a una impresora de red. resulta que tenía una conexión a una impresora de red que no respondía y, dado que las aplicaciones de Microsoft Office se conectan a todas las impresoras configuradas durante el inicio del proceso, Powerpoint se "colgó" hasta que el intento de conectarse a la impresora se ha quedo con el tiempo de espera. Después de eliminar la conexión a la impresora, el problema desaparece.]

NOVEDADES DE SYSINTERNALS

ACTUALIZACIONES DE HERRAMIENTAS

Se han actualizado varias herramientas desde el último boletín de abril. Este es un resumen de las mejoras:

Explorador de procesos

El Explorador de procesos es Administrador de tareas reemplazo (incluso puede reemplazar Administrador de tareas por una selección en el menú Opciones del Explorador de procesos).

  • La pestaña TCP/IP de las propiedades del proceso muestra las conexiones TCP y UDP; los cambios se resaltan en color, lo que facilita la ver las conexiones nuevas y cerradas
  • Versión de 64 bits para sistemas AMD64
  • Compatibilidad con la configuración de máscaras de afinidad de proceso en sistemas SMT (hyperthreaded) y SMP
  • Mostrar mejoras en el rendimiento de las actualizaciones

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DebugView

DebugView es una utilidad para desarrolladores que permite capturar la salida de depuración en modo de usuario y en modo kernel sin un depurador localmente o a través de la red.

  • Búferes de usuario y modo kernel más grandes
  • Más filtros de resaltado
  • Ajuste de archivos de registro
  • Compatibilidad con la Windows de depuración del kernel de XP SP2
  • Borra la salida cuando ve la cadena de depuración "clear output" especial.

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves es una nueva utilidad sysinternals que muestra los comandos de movimiento y eliminación de archivos que se han programado en un sistema para que tengan lugar el siguiente arranque.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore es una utilidad de línea de comandos que aprovecha el "borrado" de Windows Server 2003 Active Directory (AD) para proporcionar una funcionalidad de eliminación limitada de objetos de AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Protector de pantalla azul

Este protector de pantalla, que imita la pantalla azul de la muerte, ahora admite sistemas multimonitor y Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

Esta nueva utilidad de línea de comandos muestra la lista de sesiones de inicio de sesión en un sistema, incluida la red, interactivas y por lotes, y también muestra los procesos que se ejecutan en cada sesión.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

El conjunto de pstools consta de 11 herramientas de línea de comandos administrativas que funcionan de forma local y remota. Muchos de ellos se han actualizado en los últimos meses para incluir compatibilidad con varios sistemas informáticos que puede especificar en la línea de comandos o en un archivo de texto.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Autoruns muestra la lista más completa de las ubicaciones de Windows registro y sistema de archivos que las aplicaciones pueden usar para configurarse para iniciarse automáticamente durante el proceso de arranque.

  • Las ubicaciones del registro y del sistema de archivos ahora abarcan varias columnas para facilitar la lectura
  • Opción para mostrar solo entradas que no son de Microsoft, lo que facilita ver qué software que no es de MS está configurado para iniciarse al iniciar sesión
  • Ahora puede deshabilitar una entrada sin eliminarla del Registro (convierte Autoruns ahora en un superconjunto de Msconfig).
  • Opción para mostrar los servicios configurados para iniciarse en el arranque

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Además de las actualizaciones de herramientas, hay una actualización de un artículo técnico:

Boot.ini referencia de opciones

Esta referencia ahora incluye los boot.ini agregados en Windows XP y Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS ES UN SITIO DE LA COMUNIDAD DE MICROSOFT WINDOWS XP

Sysinternals ha sido un sitio de la comunidad para Windows XP Embedded en Microsoft.com durante varios años y ahora me enhorabueno anunciar que Microsoft también ha convertido Sysinternals en un sitio de la comunidad en la página de la zona de expertos de Windows XP:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

BUSCAR CASOS DE ÉXITO DE SYSINTERNALS

A los públicos de mis seminarios y presentaciones de conferencia les encanta escuchar casos de éxito de palabras reales, por lo que si tiene alguna solución de problemas con las herramientas de Sysinternals, me gustaría conocerlo. Cuando me envíe una a mark@... Le escribiré en un dibujo mensual para ganar una camiseta de Sysinternals sin imprimir de edición limitada. Sea lo más detallado posible sobre cómo ha usado la herramienta Sysinternals para resolver el problema y, si es posible, envíe capturas de pantalla o archivos de registro (Filemon y Regmon pueden guardar su salida en un archivo de texto).

ARTÍCULOS DE MAGAZINE

Psexec

Este artículo que he escrito para el problema de julio solo está disponible actualmente para los suscriptores de Windows y .NET Magazine. Trata el uso avanzado de Psexec y describe cómo funciona e interactúa con Windows seguridad.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

El engaño de optimización de memoria

En este Windows y .NET Magazine, que está disponible para usuarios que no son suscriptores, describo el comportamiento engañoso de los denominados "optimizadores de RAM".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

CLASES PRÁCTICAS INTERNAS Y AVANZADAS DE SOLUCIÓN DE PROBLEMAS DE WINDOWS

27 de septiembre de 2004: San Francisco

Por primera vez abierto al público, DavidAttribute y yo presentamos la versión práctica de 5 días de nuestra clase de solución de problemas avanzada interna de Windows 2000/XP/2003 en San Francisco, del 27 de septiembre al 1 de octubre de & 2004. (Los asistentes deben traer su propio equipo portátil; los detalles de configuración se proporcionan de antemano; no se requiere ninguna compra de software adicional).

Esta es la misma clase que enseñamos a los empleados de Microsoft de todo el mundo. Trata los aspectos internos de los subprocesos de procesos, la programación de subprocesos, la administración de memoria, la seguridad, el registro & y el sistema de E/S. Delve en mecanismos como subprocesos del sistema, distribución de llamadas del sistema, control de interrupciones y & apagado & de inicio. Obtenga información sobre técnicas avanzadas de solución de problemas mediante las herramientas de Sysinternals y cómo realizar análisis de volcado de memoria.

¿Por qué tomar esta clase? Si es un profesional de TI que implementa y admite servidores y estaciones de trabajo Windows, debe ser capaz de profundizar debajo de la superficie cuando las cosas vayan mal. Conocer los aspectos internos del sistema operativo Windows y saber cómo usar herramientas avanzadas de solución de problemas le ayudará a solucionar estos problemas y comprender los problemas de rendimiento del sistema de forma más eficaz. Comprender lo interno puede ayudar a los programadores a aprovechar mejor la plataforma Windows, así como proporcionar técnicas de depuración avanzadas. Y dado que el curso se desarrolló con acceso total al código fuente del kernel de Windows y a los desarrolladores, sabe que está obteniendo la historia real.

Para más información y registro, visite

http://www.sysinternals.com/troubleshoot.shtml

PROGRAMACIÓN DE HABLA DE MARK

Después de hablar en Microsoft TechEd US y TechEd Europe en mayo y junio, estoy disfrutando del verano en casa en el soleado Texas. Estas son mis tres conferencias siguientes:

TECHMENTOR

27 de septiembre-1 de octubre de 2004 San Juan, CA

Voy a ofrecer cuatro sesiones en esta conferencia, todas ellas el 29 de septiembre, incluidas "Windows y Linux: una historia de dos kernels" como nota clave. Las otras sesiones que presento son "análisis de bloqueo y volcado de memoria de Windows", "Windows XP y Windows Server 2003 Kernel Changes" y "Troubleshooting Windows Boot and Startup".

Puede leer mis resúmenes y encontrar un vínculo a la página de registro de la conferencia en

http://www.sysinternals.com/ntw2k/info/talk.shtml

CONEXIONES DE WINDOWS

24-27 de octubre de 2004: Miami, FL

En esta conferencia voy a ofrecer mi charla "Troubleshooting Windows Boot and Startup" (Solución de problemas de arranque y inicio) como sesión general y también presento "Troubleshooting Windows with the Sysinternals Tools" (Solución de problemas de Windows con sysinternals Tools), ambas el día 24 (me complace decir que Microsoft Network - MSN) me ha invitado a presentar como la dirección de la nota clave un día Windows sesión de solución de problemas en su conferencia de excelencia de ingeniería de MSN anual esa semana en Seattle).

Lea los resúmenes y vaya al sitio de la conferencia desde

http://www.sysinternals.com/ntw2k/info/talk.shtml

FORO DE MICROSOFT IT

Copenhague, Dinamarca

Voy Windows ofrecer una sesión del tutorial previo a la conferencia previa a la conferencia con Dave Warp sobre los aspectos internos de seguridad principales, así como varias sesiones de interrupción por mi cuenta que aún no se han determinado. Puede encontrar la información abstracta y de registro del tutorial anterior a la conferencia aquí: http://www.microsoft.com/europe/msitforum/


Gracias por leer el Boletín sysinternals.

Publicado el viernes, 30 de julio de 2004 a las 16:39 p. m.

[Archivo de boletines ^][ Volumen 6, Número 1][Volumen 7, Número 1 ]

[Archivo de boletines ^][ Volumen 6, Número 1][Volumen 7, Número 1 ]

The Systems Internals Newsletter Volume 6, Number 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinvl