2000 年 8 月 30 日 - この問題:

  1. 編集

  2. SYSINTERNALS の新機能

    • ListDlls v2.23
    • HandleEx v2.26
    • ElogList v2.02
    • LoggedOn v1.1
    • Bluescreen v2.21
    • PageDefrag v2.01
    • LoadOrder v1.1
    • ClockRes v1.0
    • BgInfo v1.0
    • 2000 Windows 3rd Ed 内。
    • Sysinternals (Microsoft)
  3. 内部情報

    • DEBUG 特権の機能
    • Win2K SP1 の新しい API
    • WinDev 2000 West
  4. 予定されている情報

    • Tokenmon

共同スポンサー: ウロナルス ソフトウェア

Sysinternals ニュースレターは、Www.winternals.com の Web で、Internals Software が後 www.winternals.com。 ゾーン ソフトウェアは、2K/2K 用の高度なシステム ツールの主要な開発者Windows NTプロバイダーです。 ウインターナルス ソフトウェア製品には、Windows NT 4.0 用の FAT32、NTFSDOS Professional Edition (DOS 用の読み取り/書き込み NTFS ドライバー)、リモート回復が含まれます。

2000 年のERD コマンダーは、2000 年に発表された、その製品ラインでERD コマンダーリリースです。 ERD コマンダーレジストリやファイル エディターなど、2000 年の新機能により、最新の Windows NT および Windows 2000 回復ツールが存在します。 ERD コマンダー 2000 をフロッピー ディスク、CD-ROM、システムのハード ドライブにインストールしてすばやくアクセスできます。また、インストール ウィザードを使用すると、サードパーティ製の SCSI などの大容量記憶域ドライバーを簡単に追加できます。 ERD コマンダー 2000 は $349、または既存の所有者の場合は 49 ドルERD コマンダー Professionalです。 詳細については、次のページで試用版をダウンロード www.winternals.com/products/erdcommander2000.shtml。

共同スポンサー: WINDOWS 2000 MAGAZINE

Windows 2000 Magazine には、2000 年 1 月 2000 日に毎日仕事をしているユーザー向Windows NTソリューションが含まれている。 無料のサンプルの問題を今すぐ注文し、リスクなしで注文します。 サブスクリプションを続行する場合は、ニューススタンド価格の 40% でさらに 13 件の問題が発生します。 次の場所で今すぐサブスクライブします。 http://www.win2000mag.com/sub.cfm?code=fs00inhs13

皆さん、こんにちは。

Sysinternals ニュースレターへようこそ。 このニュースレターには現在、25,000 人のサブスクライバーがいます。

私は、Bryce と Sysinternals で開発したツールである Regmon、Filemon、DebugView で多くの時間を費やしています。 Regmon はレジストリ アクセス モニター (www.sysinternals.com/regmon.htm)、Filemon はファイル アクセス モニター (www.sysinternals.com/filemon.htm)、DebugView はデバッグ出力モニター (www.sysinternals.com/dbgview.htm) です。 場合によっては、これらのツールの 1 つで表示される継続的なアクティビティを生成する、複数のシステムの 1 つにインストールされているアプリケーションまたはデバイス ドライバーが表示されます。 私は必要なアクティビティについて話すわけではありませんが、ソフトウェアが実行するアクションは通常、反復的な性質であり、出力トレースを調査すると、ソフトウェアがポーリング手法を使用し、他のあまり侵入しないメカニズムを使用できる可能性が明らかになります。

たとえば、さまざまな商用ウイルス スキャナーは、1 秒に数回ウイルス署名ファイルに対してクエリを実行して、それが更新されたのか確認します。 私のシステムの 1 つには、"ポーリング" という単語を含めることでポーリングをアドバタイズするデバッグ ステートメントを継続的に出力する、大手プリンター製造元のプリンター ドライバーがあります。 お気に入りの例の 1 つで、あるユーティリティが、主要なユーティリティ ベンダーからシステム パフォーマンスの向上としてアドバタイズされ、ベンダーのレジストリ キーの一部を 1 秒に複数回照会しています。 別の種類のずさんなコーディングの例として、ソフトウェアの実行中に継続的に移動する埋め込みデバッグ ブレークポイントを含むユーザー モード ソフトウェア コンポーネントを含む、主要なネットワーク ベンダーのネットワーク アダプターがあります。 アプリケーションでファイルの変更を検出する必要がある場合は、ディレクトリ変更通知を要求できます。 同様に、レジストリ キーに対する変更を検出する必要がある場合は、キー変更通知を要求できます。また、商用ソフトウェアには、既定で有効になっているデバッグ出力やデバッグ ブレークポイントを含めずにしてください。

ただし、おそらく最も悪質な例は、Windows 2000 Server ( ) にバンドルされている Microsoft Windows Media Program Service です。それ以外のアクティビティがない (メディアサービスを含めません) システムでは、1 秒あたり約 60 回の速度で の最初の 2 KB を読み取ります。 \Winnt\System32\Windows Media\Server\Npsm.exe\Winnt\System32\Windows Media\Server\ASDB\mdsas.mdb 特に、サーバーの全体的なパフォーマンスに悪影響を及ぼす可能性があるという言い訳はありません。

Regmon、Filemon、または DebugView を長い間使用している場合は、おそらく同様の例が見えてくると思います。 フィルターを設定して忘れないようにし、ベンダーからだらしないプログラミングについて不平を言う電子メールを送信してください。

そのコンテンツに関心がある可能性がある友人に、ニュースレターを渡してください。

ありがとうございます。

-Mark

SYSINTERNALS の新機能

LISTDLLS V2.23

ListDLLs は、プロセスが読み込んだ DLL に関する詳細情報を示すコマンド ライン ユーティリティです。 たとえば、ListDLLs には、各 DLL のベース メモリ アドレス、サイズ、バージョン、および完全パスが表示されます。 この新しいバージョンでは、プロセスの起動に使用されたコマンド ライン (コマンド ラインで渡されたパラメーターを含む) が表示されます。 これは、複数のプロセスを区別し、特定のコマンド ライン オプションに関連する問題のトラブルシューティングに役立ちます。

ListDLLs v2.23 をダウンロード www.sysinternals.com/listdlls.htm。

HANDLEEX V2.26

HandleEx は、プロセスが開いているか読み込まれているハンドルと DLL に関する情報を表示するアプリケーションです。 その表示は、2 つのサブウィンドウで構成されます。 上部には、所有しているアカウントの名前を含む現在アクティブなプロセスの一覧が常に表示されます。一方、下部ウィンドウに表示される情報は HandleEx が含むモードによって異なります。HandleEx がハンドル モードの場合は、上部のウィンドウで選択されたプロセスが開いたハンドルが表示されます。DLL モードの場合は、プロセスによって読み込まれた DLL とメモリ マップト ファイルが表示されます。

HandleEx の最新リリースには、いくつかの新機能が含まれています。 最初に、ListDLLs と同様に、プロセスのプロパティを表示するときにプロセスを起動するために使用されたコマンド ラインが表示されます。

このバージョンより前の HandleEx の欠点の 1 つは、ログイン セッションのシステム プロセスとプロセスが実行されているアカウントの名前が表示されたが、他のユーザー アカウントから開始されたプロセスの所有者を示す Windows NT/2000 セキュリティ モデルを回避できないという点でした (Windows NT/2000 リソース キットの Pview プログラムにもこの制限が適用されます)。 これは、NT 4 ターミナル サーバーと Windows 2000 ターミナル サービス環境で明らかでした。HandleEx は、他のユーザー セッションから開始されたプロセスの所有者が不明なことを示しました。 HandleEx v2.26 では、例外なくすべてのプロセスの所有アカウントを特定できるよう、この方法が実装されています。ターミナル サービス環境に最適なツールです。

HandleEx v2.26 の最後の新機能では、開いているハンドルを強制的に閉じられます。 この機能は、多数の要求を受信した後に追加しました。 ただし、アプリケーションは通常、ハンドルが突然無効になることが予想される書き込みではないので、慎重に使用することをお勧めします。また、ハンドルが強制的に閉じられたアプリケーションは、結果として不安定に動作したりクラッシュしたりする可能性があります。

HandleEx v2.26 をダウンロード www.sysinternals.com/handleex.htm。

ELOGLIST V2.02

Windows 2000 Resource Kit には、ローカル コンピューターまたはリモート コンピューター上のイベント ログからレコードをダンプできる ELogDmp という名前のツールが含まれています。 ELogList は ElogDmp よりも強力です。オプションのアカウント名とパスワードも指定できます。これにより、ツールを実行しているアカウントとは異なるアカウントからコンピューターのイベント ログにアクセスできます。 さらに、ElogDmp ツールでは未加工の形式でイベント ログ エントリが表示されるのに対し、この ElogList 更新プログラムは、Windows NT/2000 イベント ビューアーに表示されるテキストを表示するイベント ログ エントリを書式設定します。 リモート システムからイベント ログを表示する場合でも、ElogList は、書式設定文字列データに対してリモート システム上の正しいメッセージ ファイルを使用します。

ElogList v2.02 をダウンロード www.sysinternals.com/eloglist.htm。

LOGGEDON V1.1

LoggedOn は、ローカルまたはリソース共有経由で特定のコンピューターにログオンしているユーザーを示すコマンド ライン アプレットです。 バージョン 1.1 の更新プログラムを使用すると、特定のユーザーに関連付けられているログオン セッションをネットワークで検索できます。 この機能は、ユーザー アカウントの更新を実行し、ユーザーが現在ログオンしていない状態を確認する必要がある場合に便利です。

完全なソースを含む LoggedOn v1.1 をダウンロード www.sysinternals.com/misc.htm。

BLUESCREEN V2.21

Windows NT または Windows 2000 のクラッシュと再起動を正確に示す、有名な Sysinternals Blue Screen スクリーン セーバーに詳しいのは間違いありません。 最初のリリース以降、コンピューターでスクリーン セーバーを実行したい Windows 9x ユーザーから継続的に要求を受け取ったので、最後に Windows 9x に移植しました。 9 Windowsでは、2000 Windowsクラッシュと再起動がシミュレートされます。

Windows 9x で Sysintenals Blue Screen スクリーン セーバーを使用するための唯一の要件は、ディレクトリに配置する Windows 2000 Ntoskrnl.exe ファイルのコピーを取得することです。Blue Screen には、Windows 2000 スプラッシュ スクリーン用のファイルが必要です。 \Windows\System

これで、Windows 2000 のクラッシュと再起動サイクルでスタックしているのを検出するためにのみ、コンピューターに戻ってくる疑いのない Windows 9x ユーザーを混同できます。

Bluescreen Screen Saver v2.21 をダウンロード www.sysinternals.com/bluescreen.htm。

PAGEDEFRAG V2.01

PageDefrag は、システムのページング ファイルとレジストリ ハイブを最適化するために起動時に実行されるデフラグ ユーティリティです。 PageDefrag は、レジストリ ハイブを最適化できる最初のユーティリティでしたが、そのリリース以降、その機能はいくつかの商用デフラグに追加されています。 ただし、PageDefrag は引き続き無料であり、バージョン 2.01 は Windows 2000 および Windows NT 4 で動作します。

Windows NT 4 および Windows 2000 で提供されるデフラグ インターフェイスに関心がある場合は、その詳細を確認し、ソース コードを www.sysinternals.com/defrag.htm の対話型ファイル デフラグツールにダウンロードできます。 Sysinternals は、Microsoft がプラットフォーム SDK に含める前のデフラグ インターフェイスの年を文書化し、いくつかの商用デフラグ機能でドキュメントとサンプル コードを使用しました。

Www.sysinternals.com/pagedfrg.htm で PageDefrag v 2.01 をダウンロードします。 Www.sysinternals.com/defrag.htmで、デフラグインターフェイスのドキュメントを表示します。

LOADORDER V1.1

デバイスドライバーとサービスがどのような順序でロードおよび初期化されるのか、という疑問がありますか。 これで、簡単に見つけることができます。LoadOrder は、 HKLM\System\CurrentControlSet\Services ドライバーとサービスの読み込み順序の画像を構築するために、の情報を処理するユーティリティです。

Www.sysinternals.com/misc.htm で LoadOrder v1.1 をダウンロードします。

CLOCKRES 1.0

スケジューラの記事では、Windows NT/2000 スレッドクォンタム (CPU 上でスレッドが実行されるようになるまでの時間の長さ) は、システムクロックの解決に基づいているという事実について説明しました。 クロックの解像度は、Windows タイマーベースのイベントの待機時間にも影響します。 Www.sysinternals.com/の記事では、アプリケーションがクロックの解像度を操作する方法についても説明して timer.htm ます。 ほとんどの SMPs では、この解決方法は15ms で、uniprocessors の10ミリ秒には、標準の SMP とユニプロセッサ Hal (ハードウェアアブストラクションレイヤー) によって設定された値があります。

ほとんどのシステムでは上記の共通値が使用されていますが、コンピューターのクロックの実際の解決方法はどのようにして判断できますか。 回答は GetSystemTimeAdjustment Win32 API にあります。これにより、システムが日単位の時刻に定期的な調整を適用しているかどうかがわかります。 この API は、クロックの間隔も返すだけです。 ClockRes アプレットは、API を使用して、システムのクロックの解決を通知します。

Www.sysinternals.com/misc.htm で ClockRes plus ソースをダウンロードします。

BGINFO V1.0

複数のサーバーを管理している管理者は、多くの場合、さまざまな情報ダイアログを開いて、インストールされている Service Pack のバージョン、IP アドレス、コンピューター名、メモリサイズ、プロセッサ速度などのさまざまなシステムプロパティの値を通知することができます。 これで、Bryce によって開発された BgInfo ユーティリティを使用して、各サーバーのデスクトップ上のすべての情報をプレーンビューで表示できるようになりました。

BgInfo を実行すると、さまざまな便利なシステム特性を自動的に報告するデスクトップの背景が作成されます。 BgInfo をスタートフォルダーに配置して、ログインするたびに情報を利用できるようにすることができます。また、BgInfo に表示されるデータを変更することもできます。 サーバーに BgInfo がインストールされているので、簡単に忘れられた情報を繰り返し検索する時間を節約できます。

Www.sysinternals.com/misc.htm で BgInfo v1.0 をダウンロードします。

WINDOWS 2000 の内部 (第3版)

Windows 2000 の内部で公式の書籍を利用できるようになりました。 このエディション (www.solsem.com) と Mark Russinovich は、前より40% を超えており、ネットワーク、プラグアンドプレイ、電源管理、サービス、レジストリ、WMI、ブートとシャットダウン、およびストレージの新しいカバレッジが適用されています。 また、2000の内部 Windows を調べるために、他の場所では利用できない、いくつかの強力なツールを備えた CD も含まれています。

本の目次をご覧になり、www.sysinternals.com/insidew2k.htm に従ってください。

WWW.MICROSOFT.COM AT SYSINTERNALS

報告する Sysinternals を参照している新しいサポート技術情報の記事はありませんが、マイクロソフトは、サイトの TechNet 部分の Sysinternals に、非常に高度なプロファイルリンクを追加しました。 1つ目は "Ask...セキュリティ "www.microsoft.com/TechNet/security/au022800.asp の列。この場合、悪意のあるユーザーは NTFSDOS (www.sysinternals.com/ntfspro.htm) を使用して Windows 2000 ドメインコントローラーの Active Directory の内容を変更することができます。

2番目の参照は、www.microsoft.com/technet/inside/default.asp の "内部 Microsoft" 列にあります。 列は Q&a & 形式で、特定のファイルを開いているアプリケーションを確認するための2つの質問から始まります。 リーダーが HandleEx (www.sysinternals.com/handleex.htm) と NtHandle (www.sysinternals.com/nthandle.htm) でポイントされていることを確認すると、記事の作成者 ("Mole") によって、Sysinternals についての情報が示されます。 "膨大な数のユーティリティがあるため、dime にはコストがかかりません。 Mole が Sysinternals を参照していますか。 これらの情報はすべて Mole に保存されているかもしれません)。 ここでも、ここで送信します。これは、Microsoft によるサイトの正式な保証に近いものです。

内部情報

デバッグ特権の機能

Dbmon を含む他のデバッグ出力モニターとは異なり、マイ DebugView のデバッグ出力モニター (www.sysinternals.com/dbgview.htm) には、カーネルモードのデバッグ出力をキャプチャするデバイスドライバーがインストールされるため、ローカル管理者特権が必要です。 その結果、開発者から多数の電子メールを受信し、管理者がローカルの管理者特権を付与することはなく、デバッグ特権のみが与えられます。 引数は、何らかの理由でデバッグ特権が存在し、すべてのアプリケーション開発者が開発する必要があることを意味します。 これらの開発者は、ユーザーが管理者特権を持っている場合にのみドライバーがインストールされるように DebugView を変更するように要求します。それ以外の場合は、Win32 デバッグ出力を収集します。

これらの要求では、chuckle が常に与えられます。これは、デバッグ特権の引数を行う管理には、ローカル管理者特権のドアが開かれるためです。 デバッグ特権を使用すると、開発者はデバッガーをローカルセキュリティ機関プロセス (LSASS) にアタッチして、次のログインでローカルの管理者特権を付与するように操作できます。 または、アカウントをローカルの administrators グループに追加するシステムアカウントで実行されているプロセスにコードを挿入することもできます。 このことについて、文句を示す開発者に説明すると、管理者が引数を購入しないという応答が返される場合があります。 今までは、管理者がこのような状況に戻るためのものは何もありませんでしたが、最近の rash がこのような電子メールを処理するように求められています。

Www.sysinternals.com/logonex.zip でダウンロードできる LogonEx は、デバッグの特権が不足していることをグラフィカルに表示します。 logonex は Windows NT および Windows 2000 で動作します。 この機能を無効にするために、"プログラムのデバッグ" 特権を追加した場合を除き、通常のユーザーアカウントのアカウントを作成します。 そのアカウントでログオフしてログインし、LogonEx を実行します。 特定のインストール (通常はシステムシンボルがインストールされている開発者) の msv1_0.dll 用のシンボルファイルが必要です。これは、LogonEx を使用して関数のエントリポイントを特定 MsvpPasswordValidate し、パッチを適用します。 LogonEx によって修正プログラムが適用された後、パスワードを指定せずに任意のアカウントを使用してシステムにログインできるようになります。 管理者としてログインし、作成したアカウントをローカルの administrators グループに追加して、デモを完了します。

LogonEx は、デバッグ特権によって開発者がシステムを制御できるようにする方法の一例にすぎませんが、他にもたくさんあります。 LogonEx 仕向ける management では、開発者がローカルの管理者特権を付与しないという意味はありません (ただし、ドメイン管理者の特権については説明していませんが、ドメイン管理者がネットワークを規則するのに対して、ローカル管理者が自分のコンピューターだけを治世ています)。

WIN2K SP1 の新しい API

新しいバグの原因となっている NT 4 service pack (SP) で多くのユーザーが問題を発見した後、新しい問題が発生する可能性を最小限に抑えるために、Microsoft は新しい機能を SP に含めないポリシーを採用しました。 そうですね。 Windows 2000 SP 1 が最近リリースされましたが、新しい機能がありませんでした。 ただし、Ntoskrnl.exe の詳細な調査、Windows 2000 executive およびカーネルコンポーネントを含むファイル、および Ntdll.dll、ネイティブ api とローダーを含むライブラリでは、新しい api が SP 1 でデビューを作成したことがわかります。

新しい API は、次の関数で構成されています。

   RtlTraceDatabaseAdd
   RtlTraceDatabaseCreate
   RtlTraceDatabaseDestroy
   RtlTraceDatabaseEnumerate
   RtlTraceDatabaseFind
   RtlTraceDatabaseLock
   RtlTraceDatabaseUnlock
   RtlTraceDatabaseValidate

関数の名前は非常にわかりやすいため、これはイベントをログに記録するための API です。 API の興味深い点は、その実装が Ntdll と Ntoskrnl.exe で重複していることです。これは、Ntoskrnl.exe で実装のサービスを呼び出す他の Ntdll Api とは異なります。

API の実装を調べると、次のように使用されていることがわかります。アプリケーションは、アプリケーションの仮想メモリに格納されているトレースデータベースを作成し、データベースにエントリを追加します。 ある時点で、アプリケーションはデータベースの内容を列挙でき、データベースで処理が完了すると削除されます。 奇妙なことに、データベースエントリを削除する方法がありません。

この新しい API を使用するのはどのようなものですか。 機能が完全にインストールされておらず、高度なサーバーをインストールしている 2000 Windows はありません。そのため、何であるかが明確ではありません。 おそらく、これは、SP 1 リリースコードに誤って含まれていたデバッグ API でした。

2000年8月30日に公開された水曜日、ottoh による 7:07 PM

[ニュースレターアーカイブ ^][ ボリューム2、番号 3][ボリューム2、番号 5 ]

[ニュースレターアーカイブ ^][ ボリューム2、番号 3][ボリューム2、番号 5 ]

システムの内部ニュースレターボリューム2、番号4

www.sysinternals.com
Copyright © 2000 Mark Russinovich