• Artikel

[Nyhetsbrev arkiv ^][< Volym 6, nummer 1][Volym 7, nummer 1 >]

System Internals Newsletter Volym 6, Nummer 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

30 juli 2004 – i det här problemet:

  1. REDAKTIONELLA

    • Dave Solomon Gästartikel om att gräva i trådinformation med Process Explorer

  2. NYHETER PÅ SYSINTERNALS

    • Verktyg Uppdateringar
    • Sysinternals är en Microsoft Windows XP Community-webbplats

  3. EFTERLYSA SYSINTERNALS FRAMGÅNGSBERÄTTELSER

    • Skicka oss dina framgångshistorier och vinn en Sysinternals T-shirt!

  4. TIDNINGSARTIKLAR

    • PsExec
    • Minnesoptimeringsbluffen

  5. PRAKTISK WINDOWS INTERNALS OCH AVANCERAD FELSÖKNINGSKLASS

    • San Francisco - 27 september-1 oktober

  6. MARK'S SPEAKING-SCHEMA

    • TechMentor
    • Windows Anslut ions
    • Microsoft IT-forum

Sysinternals Nyhetsbrev sponsras av Winternals Software, på webben på http://www.winternals.com. Winternals tillhandahåller Intelligent Recovery för Microsoft Enterprise.

Den snart utgivna Windows XP Service Pack 2 ger många fördelar, men kan leda till oönskade eller oförutsedda beteenden i operativsystemet och i program. Med Winternals Recovery Manager kan du på ett säkert och snabbt sätt återställa system som påverkas negativt av korrigeringar och servicepaket, även om systemen har gjorts ostartbara. Om du vill veta mer om Recovery Manager och begära en utvärderings-CD kan du besöka: http://www.winternals.com/es/solutions/recoverymanager.asp

REDAKTIONELLA

Dave Solomon och jag arbetar fortfarande hårt på nästa utgåva av "Inside Windows 2000" (som ska kallas "Windows Internals", 4: e upplagan) och förväntar sig att ha manuskriptet klart under de närmaste veckorna. Boken, som omfattar Windows 2000, Windows XP och Windows Server 2003, visar en tillväxt på cirka 20 % jämfört med den tredje utgåvan. Vi tror att du kommer att hitta boken ännu mer värdefull än den tidigare utgåvan eftersom vi förutom att utöka det befintliga materialet och lägga till ny text för att täcka XP- och 2003-ändringar har lagt till felsökningsmaterial för ämnen som kraschdumpanalys, systemstart, minne, CPU, filsystem och registret.

Eftersom jag fokuserar min tid på att avsluta boken detta nyhetsbrev är kort, men jag kommer att fortsätta regelbundna nyhetsbrev när boken är klar. Under tiden jag inkluderar en gäst artikel från Dave Solomon om mer avancerad användning av Process Explorer än vad jag som beskrivs i det senaste nyhetsbrevet.

Njut och skicka nyhetsbrevet vidare till personer som du tror kommer att tycka att det är intressant!

  • Mark Russinovich

Gräva i trådaktivitet med Process Explorer

Av Dave Solomon (daves@..., http://www.solsem.com)

Process Explorer ger enkel åtkomst till trådaktivitet i en process. Detta är särskilt viktigt om du försöker avgöra varför en process körs som är värd för flera tjänster (till exempel Svchost.exe, Dllhost.exe, Inetinfo.exe eller systemprocessen) eller varför en process är låst.

Om du vill visa trådarna i en process väljer du en process och öppnar processegenskaperna (dubbelklicka på processen eller klicka på menyalternativet Processegenskaper>) och klicka på fliken Trådar. Detta visar en lista över trådarna i processen, procentandelen förbrukad PROCESSOR (baserat på det konfigurerade uppdateringsintervallet), antalet kontextväxlar till tråden och trådstartadressen. Du kan sortera efter någon av dessa tre kolumner. När du väljer varje tråd i listan visar Process Explorer tråd-ID, starttid, tillstånd, CPU-tidsräknare, antal kontextväxlar samt bas- och aktuell prioritet. Det finns en Kill-knapp som avslutar en enskild tråd, men den bör användas med extrem försiktighet.

Nya trådar som skapas är markerade i grönt och trådar som avslutas är markerade i rött (markeringens varaktighet kan konfigureras med menyalternativ-Konfigurera> markeringsmenyalternativ). Detta kan vara användbart för att upptäcka att onödiga trådar skapas i en process (i allmänhet bör trådar skapas vid processstart och inte varje gång en begäran bearbetas i en process).

Kontextväxlingsdelta representerar antalet gånger som tråden började köras mellan uppdateringarna som konfigurerats för Process Explorer och är ett annat sätt att fastställa trådaktivitet än den procentandel processoranvändning som förbrukas, eftersom många trådar körs under så kort tid att de sällan (om någonsin) är den tråd som körs just nu när intervallklockans timeravbrott inträffar och därför inte debiteras för sin CPU-tid.

Trådstartadressen visas i formatet "module!function", där modulen är namnet på .EXE eller .DLL. Funktionsnamnet förlitar sig på åtkomst till symbolfiler för modulen, som du får om du konfigurerar Process Explorer att använda Microsoft Symbol Server (se hjälpen, inklusive med Microsoft Felsökningsverktyg för Windows, som du kan ladda ned från Microsofts webbplats på http://www.microsoft.com/whdc/devtools/debugging/default.mspx). Om du är osäker på vad modulen är trycker du på modulknappen. Då öppnas ett utforskarfilegenskaper för modulen som innehåller trådens startadress (t.ex. .EXE eller .DLL). För trådar som skapats av Windows-funktionen CreateThread visar ProcessUtforskaren funktionen som skickats till CreateThread, inte den faktiska trådstartfunktionen. Det beror på att alla Windows-trådar börjar vid en vanlig process eller trådstartomslutningsfunktion (BaseProcessStart eller BaseThreadStart i Kernel32.dll). Om Process Explorer visade den faktiska startadressen verkar de flesta trådar i processer ha startat på samma adress, vilket inte skulle vara till hjälp för att försöka förstå vilken kod tråden körde.

Den trådstartadress som visas kanske dock inte är tillräckligt med information för att fastställa vad tråden gör och vilken komponent i processen som ansvarar för den CPU som används av tråden. Detta gäller särskilt om trådstartadressen är en allmän startfunktion (t.ex. om funktionsnamnet inte anger vad tråden faktiskt gör). I det här fallet kan granskning av trådstacken besvara frågan. Om du vill visa stacken för en tråd dubbelklickar du på tråden av intresse (eller väljer den och trycker på stackknappen). Process Explorer visar trådens stack (både användare och kernel, om tråden var i kernelläge). Medan felsökningsprogram i användarläge (Windbg, Ntsd och Cdb) tillåter att du ansluter till en process och visar användarstacken för en tråd, visar Process Explorer både användaren och kernelstacken med ett enkelt klick på en knapp. Du kan också undersöka användar- och kerneltrådsstackar med Livekd från Sysinternals, men det är svårare att använda. Observera att körning av Windbg i lokalt kernel-felsökningsläge, som endast stöds i Windows XP eller Windows Server 2003, inte visar trådstackar.

[Personligt meddelande från Mark - detta hjälpte mig att lösa varför Powerpoint hängde i en minut varje gång jag startade den. Jag använde Process Explorer för att titta på stacken för en tråd i Powerpoint-processen. den väntade på ett samtal för att ansluta till en nätverksskrivare. visar sig att jag hade en anslutning till en nätverksskrivare som inte svarade, och eftersom Microsoft Office-appen likationer ansluter till alla konfigurerade skrivare vid processstarten var Powerpoint "hängd" tills försöket att ansluta till skrivaren tog timeout. När jag har tagit bort anslutningen till skrivaren försvann problemet.]

NYHETER PÅ SYSINTERNALS

VERKTYGSUPPDATERINGAR

Ett antal verktyg har uppdaterats sedan det senaste nyhetsbrevet i april. Här är en sammanfattning av förbättringar:

Processutforskaren

ProcessUtforskaren ersätter Aktivitetshanteraren (du kan till och med ersätta Aktivitetshanteraren helt och hållet med ett val i Menyn Alternativ för Processutforskaren).

  • TCP/IP-fliken för processegenskaper visar TCP- och UDP-anslutningar. ändringar är markerade i färg, vilket gör det enkelt att se nya och stängda anslutningar
  • 64-bitarsversion för AMD64-system
  • Stöd för att ställa in processtillhörighetsmasker på SMT-system (hypertrådade) och SMP-system
  • Visa förbättringar av uppdateringsprestanda

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Felsökningsvy

DebugView är ett utvecklarverktyg som gör att du kan samla in felsökningsutdata i användarläge och kernelläge utan ett felsökningsprogram lokalt eller i nätverket.

  • Större kernelläge och användarbuffertar
  • Fler markeringsfilter
  • Loggfilshantering
  • Stöd för felsökningsutdata för Windows XP SP2-kernel
  • Rensar utdata när en särskild felsökningssträng för "rensa utdata" visas

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves är ett nytt Sysinternals-verktyg som visar kommandon för att flytta och ta bort filer som har schemalagts på ett system för att äga rum nästa start.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore är ett kommandoradsverktyg som utnyttjar Windows Server 2003 Active Directory (AD) "tombstoning" för att tillhandahålla en begränsad funktion för att ta bort ad-objekt.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Skärmsläckare med blå skärm

Denna skärmsläckare, som efterliknar den blå skärmen av döden, stöder nu multimonitorsystem och Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

Inloggningar

Det här nya kommandoradsverktyget visar listan över inloggningssessioner i ett system, inklusive nätverk, interaktivt och batch, och visar även de processer som körs i varje session.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

Pstools-sviten består av 11 administrativa kommandoradsverktyg som fungerar lokalt och via fjärranslutning. Många av dem har uppdaterats under de senaste månaderna för att inkludera stöd för flera datorsystem som du kan ange på kommandoraden eller i en textfil.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Autokörningar visar den mest omfattande listan över Windows-register- och filsystemplatser som program kan använda för att konfigurera sig själva för att starta automatiskt under startprocessen.

  • Filsystem och registerplatser sträcker sig nu över flera kolumner för enklare läsning
  • Alternativ för att endast visa poster som inte kommer från Microsoft, vilket gör det enkelt att se vilken programvara som inte är MS-konfigurerad för att starta när du loggar in
  • Kan nu inaktivera en post utan att ta bort den från registret (gör Autoruns nu till en superuppsättning msconfig)
  • Alternativ för att visa tjänster som konfigurerats för start vid start

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Förutom verktygsuppdateringar finns det en uppdatering av en teknisk artikel:

Start.ini-alternativreferens

Den här referensen innehåller nu boot.ini-växlar som lagts till i Windows XP och Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS ÄR EN MICROSOFT WINDOWS XP COMMUNITY-WEBBPLATS

Sysinternals har varit en community-webbplats för Windows XP Embedded på Microsoft.com i flera år och nu är jag stolt över att kunna meddela att Microsoft också har gjort Sysinternals till en community-webbplats på Sidan För Windows XP Expert Zone:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

LETAR DU EFTER SYSINTERNALS FRAMGÅNGSBERÄTTELSER!

Målgrupper i mina seminarier och konferenspresentationer älskar att höra verkliga framgångshistorier, så om du har en felsökning med Sysinternals-verktygen skulle jag gärna höra om det. När du skickar en till mig på mark@... Jag skriver in dig i en månatlig ritning för att vinna en begränsad upplaga out-of-print Sysinternals t-shirt. Var så detaljerad som möjligt om hur du använde verktyget Sysinternals för att lösa problemet, och om möjligt och tillämpligt skicka skärmbilder och/eller loggfiler (Filemon och Regmon kan båda spara sina utdata i en textfil).

TIDNINGSARTIKLAR

Psexec

Den här artikeln jag skrev för julinumret är för närvarande endast tillgänglig för prenumeranter av Windows och .NET Magazine. Den beskriver avancerad Psexec-användning och beskriver hur den fungerar och interagerar med Windows-säkerhet.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

Minnesoptimeringsbluffen

I denna Windows- och .NET Magazine, som är tillgänglig för icke-prenumeranter, beskriver artikel jag det bedrägliga beteendet hos så kallade "RAM-optimerare".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

PRAKTISK WINDOWS INTERNALS OCH AVANCERAD FELSÖKNINGNIG-KLASS

27 sep - 1 oktober 2004 - San Francisco

För första gången öppen för allmänheten, David Solomon och jag presenterar 5 dagars praktisk version av vår Windows 2000/XP/2003 internals & avancerad felsökning klass i San Francisco, september 27-oktober 1, 2004. (Deltagarna måste ta med sin egen bärbara dator, konfigurationsinformation kommer att tillhandahållas i förväg – inget köp av ytterligare programvara krävs).

Det här är samma klass som vi undervisar Microsoft-anställda runt om i världen. Den omfattar interna processer och trådar, trådschemaläggning, minneshantering, säkerhet, registret och I/O-systemet. Gå in i mekanismer som systemtrådar, systemsamtalssändning, avbrottshantering, & start och avstängning. Lär dig avancerade felsökningstekniker med hjälp av Sysinternals-verktygen och hur du utför analys av kraschdumpar.

Varför ta den här klassen? Om du är IT-proffs som distribuerar och stöder Windows-servrar och -arbetsstationer måste du kunna gräva under ytan när saker går fel. Att förstå det interna i Windows-operativsystemet och veta hur du använder avancerade felsökningsverktyg hjälper dig att hantera sådana problem och förstå problem med systemprestanda mer effektivt. Att förstå de interna funktionerna kan hjälpa programmerare att bättre dra nytta av Windows-plattformen och tillhandahålla avancerade felsökningstekniker. Och eftersom kursen utvecklades med fullständig åtkomst till Windows-kernelns källkod och utvecklare vet du att du får den verkliga historien.

Mer information och registrering finns i

http://www.sysinternals.com/troubleshoot.shtml

MARK'S SPEAKING-SCHEMA

Efter att ha talat på Microsoft TechEd US och TechEd Europe i maj och juni njuter jag av sommaren hemma i soliga Texas. Här är mina nästa tre konferenssamtal:

TECHMENTOR

27 september-1 oktober 2004 San Jose, CA

Jag levererar fyra sessioner på den här konferensen, alla den 29 september, inklusive "Windows och Linux: A Tale of Two Kernels" som en huvudkommentar. De andra sessioner jag presenterar är "Windows Hang and Crash Dump Analysis", "Windows XP och Windows Server 2003 Kernel Changes" och "Troubleshooting Windows Boot and Startup".

Du kan läsa mina sammanfattningar och hitta en länk till sidan för konferensregistrering på

http://www.sysinternals.com/ntw2k/info/talk.shtml

WINDOWS-ANSLUTNINGAR

Oktober 24-27, 2004 Orlando, FL

På den här konferensen håller jag mitt "Felsöka Windows Boot and Startup"-samtal som en allmän session och presenterar även "Felsöka Windows med Sysinternals Tools", både den 24:e (jag är stolt över att säga att Microsoft Network - MSN - har bjudit in mig att presentera mig som nyckelanteckningsadress en dagslång Windows-felsökningssession vid deras årliga MSN Engineering Excellence Conference den veckan i Seattle).

Läs sammanfattningarna och gå till konferenswebbplatsen från

http://www.sysinternals.com/ntw2k/info/talk.shtml

MICROSOFT IT-FORUM

Köpenhamn, Danmark

Jag levererar en dagslång förkonferens självstudiesession med Dave Solomon på Windows core security internals samt flera breakout-sessioner på egen hand som ännu inte har fastställts. Du hittar sammanfattnings- och registreringsinformation för självstudiekursen före konferensen här: http://www.microsoft.com/europe/msitforum/

Tack för att du läser Sysinternals nyhetsbrev.

Publicerad fredag 30 juli 2004 16:39 av ottoh

[Nyhetsbrev arkiv ^][< Volym 6, nummer 1][Volym 7, nummer 1 >]