30 de julho de 2004 - nesta edição:

  1. EDITORIAL

    • Dave Solomon Guest Article sobre investigar detalhes de fio com explorador de processo
  2. O QUE HÁ DE NOVO NA SYSINTERNALS

    • Atualizações de ferramentas
    • Sysinternals é um Site Comunitário da Microsoft Windows XP
  3. CHAMADA PARA HISTÓRIAS DE SUCESSO DE SYSINTERNALS

    • Envie-nos as suas histórias de sucesso e ganhe uma t-shirt dos Sysinternals!
  4. ARTIGOS DE REVISTA

    • PsExec
    • O Embuste de Otimização de Memória
  5. COMPUTADORES INTERNOS DO WINDOWS & ADVANCED TROUBLESHOOTING CLASS

    • São Francisco - 27 de setembro a 1 de outubro
  6. O HORÁRIO DO MARK

    • TechMentor
    • Conexões Windows
    • Microsoft IT Forum

A Newsletter Sysinternals é patrocinada pela Winternals Software, na Web http://www.winternals.com. Winternals fornece recuperação inteligente para a Microsoft Enterprise.

O próximo Windows XP Service Pack 2 irá proporcionar inúmeros benefícios, mas pode resultar em comportamentos indesejados ou imprevistos dentro do SISTEMA e dentro das aplicações. Os winternals Gestor de Recuperação permite-lhe reverter sistemas de segurança e rapidez que são afetados negativamente por patches e pacotes de serviços, mesmo que os sistemas tenham sido tornados insuportáveis. Para saber mais sobre Gestor de Recuperação, e para solicitar um CD de avaliação, visite:http://www.winternals.com/es/solutions/recoverymanager.asp

EDITORIAL

Dave Solomon e eu ainda estamos a trabalhar arduamente na próxima edição de "Inside Windows 2000" (a chamar-se "Windows Internals", 4ª edição) e esperamos ter o manuscrito completo nas próximas semanas. O livro, que abrange Windows 2000, Windows XP e Windows Server 2003, está a mostrar um crescimento de cerca de 20% ao longo da 3ª edição. Pensamos que o livro será ainda mais valioso do que a edição anterior, porque além de expandir o material existente e adicionar novo texto para cobrir alterações de XP e 2003, adicionámos material de resolução de problemas para temas como análise de crash dump, startup de sistema, memória, CPU, sistema de ficheiros e registo.

Porque estou a concentrar o meu tempo em terminar o livro este boletim é breve, mas continuarei com os boletins regulares assim que o livro estiver terminado. Entretanto, estou a incluir um artigo de Dave Solomon sobre o uso mais avançado do Process Explorer do que o que cobri na última newsletter.

Aproveite e, por favor, passe o boletim informativo para as pessoas que acha que vai achar interessante!

  • Mark Russinovich

Escavar atividade de thread com explorador de processo

Por Dave Solomon (daves@..., http://www.solsem.com)

O Process Explorer proporciona fácil acesso à atividade dos fios dentro de um processo. Isto é especialmente importante se estiver a tentar determinar por que razão está a decorrer um processo que está a acolher vários serviços (como Svchost.exe, Dllhost.exe, Inetinfo.exe ou o processo do Sistema) ou porque é que um processo é suspenso.

Para ver os fios num processo, selecione um processo e abra as propriedades do processo (clique duas vezes no processo ou clique no item do > menu Process-Properties) e clique no separador Threads. Isto mostra uma lista dos fios no processo, a percentagem de CPU consumida (com base no intervalo de atualização configurado), o número de mudanças de contexto para o fio, e o endereço de partida do fio. Pode ordenar por qualquer uma destas três colunas. Ao selecionar cada linha da lista, o Process Explorer exibe o ID do fio, a hora de início, o estado, os contadores de tempo da CPU, o número de interruptores de contexto e a base e a prioridade atual. Existe um botão Kill que irá terminar um fio individual, mas este deve ser usado com extremo cuidado.

Os novos fios que são criados destacam-se em verde e os fios que a saída são realçados a vermelho (a duração do destaque pode ser configurada com o item menu de > configuração opções- Configuração). Isto pode ser útil para descobrir a criação de fios desnecessários ocorrendo num processo (em geral, os fios devem ser criados no arranque do processo, e não sempre que um pedido é processado dentro de um processo).

O delta do interruptor de contexto representa o número de vezes que o fio começou a funcionar entre as atualizações configuradas para o Process Explorer e é uma forma diferente de determinar a atividade do fio do que a percentagem de CPU consumida, uma vez que muitos fios funcionam por um período tão curto que raramente são (se alguma vez) o fio atualmente em execução quando ocorre o temporizador do relógio de intervalo e, portanto, não são cobrados para o seu tempo de CPU.

O endereço de partida do fio é apresentado no formulário "módulo!função", onde o módulo é o nome do .EXE ou .DLL. O nome da função baseia-se no acesso a ficheiros de símbolos para o módulo, que obtém se configurar o Process Explorer para utilizar o Microsoft Symbol Server (consulte a ajuda incluindo com o Microsoft Debugging Tools for Windows, que pode descarregar a partir do site da Microsoft emhttp://www.microsoft.com/whdc/devtools/debugging/default.mspx). Se não tiver a certeza do que é o módulo, prima o botão do módulo. Isto abre uma janela de propriedades de ficheiros Explorer para o módulo que contém o endereço de partida do fio (por exemplo, o .EXE ou .DLL). Para os fios criados pela CreateThread função Windows, o Process Explorer exibe a função passada para CreateThread , não a função de arranque do fio real. Isto porque todos os fios Windows começam numa função comum de invólucro de arranque de um processo ou de arranque de linha BaseProcessStart (ou BaseThreadStart em Kernel32.dll). Se o Process Explorer mostrasse o endereço de início real, a maioria dos fios nos processos parece ter começado no mesmo endereço, o que não seria útil para tentar perceber que código o fio estava a executar.

No entanto, o endereço de arranque da linha apresentado pode não ser informação suficiente para identificar o que o fio está a fazer e qual o componente dentro do processo que é responsável pela CPU consumida pelo fio. Isto é especialmente verdade se o endereço de arranque do fio for uma função genérica de arranque (por exemplo, se o nome da função não indicar o que o fio está realmente a fazer). Neste caso, examinar a pilha de fios pode responder à pergunta. Para visualizar a pilha para um fio, clique duas vezes no fio de interesse (ou selecione-o e prima o botão Stack). O Process Explorer exibe a pilha do fio (tanto o utilizador como o núcleo, se o fio estiver no modo kernel). Enquanto os depurantes do modo de utilizador (Windbg, Ntsd e Cdb) permitem-lhe ligar-se a um processo e exibir a pilha de utilizador para um fio, o Process Explorer mostra tanto o utilizador como a pilha de kernel num clique fácil de um botão. Também pode examinar as pilhas de fios de utilizador e kernel usando Livekd de Sysinternals, no entanto é mais difícil de usar; note que correr Windbg no modo de depuragem de kernel local, que só é suportado em Windows XP ou Windows Server 2003, não mostra pilhas de fios.

[Nota pessoal do Mark - isto ajudou-me a resolver porque é que o Powerpoint estava pendurado por um minuto cada vez que o comecei. Usei o Process Explorer para ver a pilha de um fio no processo powerpoint; estava à espera de uma chamada para ligar a uma impressora de rede; Acontece que eu tinha uma ligação com uma impressora de rede que não respondia, e porque as aplicações Microsoft Office se ligam a todas as impressoras configuradas no arranque do processo, o Powerpoint foi "pendurado" até que a tentativa de ligar à impressora foi cronometrada. Depois de ter apagado a ligação à impressora, o problema desapareceu.]

O QUE HÁ DE NOVO NA SYSINTERNALS

ATUALIZAÇÕES DE FERRAMENTAS

Várias ferramentas foram atualizadas desde o último boletim em abril. Aqui está um resumo dos melhoramentos:

Explorador de Processos

O Process Explorer é uma substituição de Task Manager (pode até substituir o Task Manager por uma seleção no menu Opções do Explorador de Processos).

  • O separador TCP/IP nas propriedades do processo exibe ligações TCP e UDP; as mudanças são destacadas a cores, tornando fácil ver novas ligações fechadas
  • Versão de 64 bits para sistemas AMD64
  • Suporte para definir máscaras de afinidade de processos em sistemas SMT (hiperfinhido) e SMP
  • Mostrar melhorias no desempenho da atualização

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DebugView

DebugView é um utilitário de desenvolvimento que permite capturar a saída de depuramento do modo de utilizador e do modo kernel sem um depurar localmente ou através da rede.

  • Modo kernel maior e tampão do utilizador
  • Filtros mais destacados
  • Embrulho de arquivo de registo
  • Suporte para Windows saída de depuro de kernel SP2 XP SP2
  • Limpa a saída quando vê a cadeia especial de depurar "saída clara"

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves é um novo utilitário Sysinternals que mostra movimento de ficheiros e elimina comandos que foram programados num sistema para realizar a próxima bota.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore é um utilitário de linha de comando que aproveita Windows "tombstoning" do Server 2003 Ative Directory (AD) para fornecer uma capacidade limitada de nãodelete para objetos AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Protetor de tela azul

Este screensaver, que imita o ecrã azul da morte, agora suporta sistemas multimonitor e Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

Este novo utilitário de linha de comando mostra a lista de sessões de início de sessão num sistema, incluindo rede, interativo e lote, e também mostra os processos em execução em cada sessão.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

A suíte Pstools é composta por 11 ferramentas administrativas de linha de comando que funcionam local e remotamente. Muitos deles foram atualizados nos últimos meses para incluir suporte a vários sistemas informáticos que pode especificar na linha de comando ou num ficheiro de texto.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

A Autoruns mostra a lista mais completa de Windows locais do sistema de registo e ficheiros que as aplicações podem usar para se configurar para iniciar automaticamente durante o processo de arranque.

  • Sistema de ficheiros e locais de registo abrangem agora várias colunas para uma leitura mais fácil
  • Opção de exibir apenas entradas não Microsoft, tornando mais fácil ver que software não MS está configurado para iniciar quando iniciar o login
  • Pode agora desativar uma entrada sem a eliminar do registo (faz da Autoruns agora um superconjunto de Msconfig)
  • Opção de exibição de serviços configurados para começar na hora do arranque

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Além das atualizações de ferramentas, há uma atualização para um artigo técnico:

Referência de opção Boot.ini

Esta referência inclui agora boot.ini comutadores adicionados no Windows XP e Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS É UM SITE COMUNITÁRIO DO MICROSOFT WINDOWS XP

A Sysinternals tem sido um site comunitário para Windows XP Incorporado em Microsoft.com há vários anos e agora tenho orgulho em anunciar que a Microsoft também fez da Sysinternals um site comunitário na página Windows XP Expert Zone:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

À PROCURA DE HISTÓRIAS DE SUCESSO DA SYSINTERNALS!

O público dos meus seminários e apresentações de conferências adora ouvir histórias de sucesso de palavras reais, por isso, se tiveres uma resolução de problemas com as ferramentas Sysinternals, adoraria ouvir sobre isso. Quando me manda um para mark@... Vou inscrevê-lo num desenho mensal para ganhar uma edição limitada fora de impressão Sysinternals t-shirt. Por favor, seja o mais detalhado possível sobre como usou a ferramenta Sysinternals para resolver o problema, e se possível e aplicável enviar imagens e/ou ficheiros de registo (Filemon e Regmon podem guardar a sua saída para um ficheiro de texto).

ARTIGOS DE REVISTA

Psexec

Este artigo que escrevi para a edição de julho só está disponível para assinantes da Windows e da Revista .NET. Cobre o uso avançado do Psexec e descreve como funciona e interage com Windows segurança.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

O Embuste de Otimização de Memória

Neste Windows e revista .NET, que está disponível para não assinantes, artigo que descrevo o comportamento enganador dos chamados "otimizadores RAM".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

INTERNAS DE JANELAS PRÁTICAS E CLASSE AVANÇADA DE RESOLUÇÃO DE PROBLEMAS

27 set 1 de outubro de 2004 - São Francisco

Pela primeira vez aberto ao público, David Solomon e eu apresentamos a versão prática de 5 dias do nosso Windows 2000/XP/2003 internamente & avançou a classe de resolução de problemas em São Francisco, 27 de setembro a 1 de outubro de 2004. (Os participantes devem trazer o seu próprio portátil; os detalhes de configuração serão fornecidos antecipadamente-- não é necessária nenhuma compra de software adicional).

Esta é a mesma aula que ensinamos aos empregados da Microsoft em todo o mundo. Abrange os internos dos fios de & processos, agendamento de fios, gestão da memória, segurança, registo e sistema de E/S. Delve em mecanismos como fios de sistema, despacho de chamadas do sistema, interrupção do manuseamento, && paragem de arranque. Aprenda técnicas avançadas de resolução de problemas utilizando as ferramentas Sysinternals e como realizar a análise do despejo de colisão.

Por que fazer esta aula? Se você é um profissional de TI que implementa e suporta Windows servidores e estações de trabalho, você precisa ser capaz de cavar debaixo da superfície quando as coisas correm mal. Ter em compreensão dos internos do sistema operativo Windows e saber como utilizar ferramentas avançadas de resolução de problemas irá ajudá-lo a lidar com estes problemas e a compreender mais eficazmente os problemas de desempenho do sistema. Compreender os internos pode ajudar os programadores a aproveitarem melhor a plataforma Windows, bem como fornecer técnicas avançadas de depuração. E como o curso foi desenvolvido com acesso total ao código-fonte de Windows kernel e aos desenvolvedores, sabe que está a receber a verdadeira história.

Para mais detalhes e inscrição, visite

http://www.sysinternals.com/troubleshoot.shtml

O HORÁRIO DO MARK

Depois de falar na Microsoft TechEd US e techEd Europe em maio e junho, estou a desfrutar do verão em casa, no ensolarado Texas. Aqui estão os meus próximos três compromissos de discurso:

TECHMENTOR

27 de setembro a 1 de outubro de 2004 San Jose, CA

Vou fazer quatro sessões nesta conferência, todas no dia 29 de setembro, incluindo "Windows e Linux: A Tale of Two Kernels" como keynote. As outras sessões que apresento são "Windows Hang and Crash Dump Analysis", "Windows XP e Windows Server 2003 Alterações kernel", e "Resolução de problemas Windows Boot e Startup".

Você pode ler os meus resumos e encontrar um link para a página de inscrição da conferência em

http://www.sysinternals.com/ntw2k/info/talk.shtml

CONEXÕES DO WINDOWS

24 a 27 de outubro de 2004 Orlando, FL

Nesta conferência, vou apresentar a minha palestra "Troubleshooting Windows Boot and Startup" como sessão geral e também apresento "Troubleshooting Windows com as Sysinternals Tools", ambos no dia 24 (tenho orgulho em dizer que a Microsoft Network - MSN - me convidou para apresentar como o endereço-chave um discurso de um dia de Windows sessão de resolução de problemas na sua Conferência Anual de Excelência em Engenharia msn naquela semana em Seattle).

Leia os resumos e vá ao site da conferência a partir de

http://www.sysinternals.com/ntw2k/info/talk.shtml

MICROSOFT IT FORUM

Copenhague, Dinamarca

Vou fazer uma sessão tutorial de pré-conferência com Dave Solomon sobre Windows internos de segurança, bem como várias sessões de fuga por conta própria que ainda estão por determinar. Pode encontrar aqui a informação de resumo e registo tutorial pré-conferência: http://www.microsoft.com/europe/msitforum/


Obrigado por ler o Boletim Sysinternals.

Publicado sexta-feira, 30 de julho de 2004 16:39 por ottoh

[Newsletters Archive ^][ Volume 6, Número 1][Volume 7, Número 1 ]

[Newsletters Archive ^][ Volume 6, Número 1][Volume 7, Número 1 ]

A Newsletter Sistemas Internas Volume 6, Número 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich