Compartir a través de

  • Artículo

[Archivo de boletines ^] [< Volumen 6, Número 1] [Volumen 7, Número 1 >]

Boletín de The Systems Internals Volume 6, Number 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

30 de julio de 2004: en este problema:

  1. EDITORIAL

    • Artículo invitado de Dave Salomón sobre cómo profundizar en los detalles de subprocesos con el Explorador de procesos

  2. NOVEDADES DE SYSINTERNALS

    • Actualizaciones de las herramientas
    • Sysinternals es un sitio de la comunidad de Microsoft Windows XP

  3. LLAMADA A CASOS DE ÉXITO DE SYSINTERNALS

    • ¡Envíenos sus historias de éxito y gane una camiseta Sysinternals!

  4. ARTÍCULOS DE LA REVISTA

    • PsExec
    • El hoax de optimización de memoria

  5. CLASE PRÁCTICA DE SOLUCIÓN DE PROBLEMAS AVANZADA Y DE WINDOWS INTERNALS

    • San Francisco- 27 de septiembre al 1 de octubre

  6. PROGRAMACIÓN DE CONFERENCIAS DE MARK

    • TechMentor
    • Conexiones de Windows
    • Foro de TI de Microsoft

El Boletín de Sysinternals está patrocinado por Winternals Software, en la Web en http://www.winternals.com. Winternals proporciona recuperación inteligente para Microsoft Enterprise.

El Service Pack 2 de Windows XP que se publicará pronto proporcionará numerosas ventajas, pero puede dar lugar a comportamientos no deseados o imprevistos dentro del sistema operativo y dentro de las aplicaciones. Winternals Recovery Manager le permite revertir sistemas de forma segura y rápida que se ven afectados negativamente por parches y Service Packs, incluso si los sistemas se han representado como inutilizables. Para obtener más información sobre Recovery Manager y solicitar un CD de evaluación, visite:http://www.winternals.com/es/solutions/recoverymanager.asp

EDITORIAL

Dave Salomón y yo todavía estamos trabajando duro en la próxima edición de "Inside Windows 2000" (se llamará "Windows Internals", 4ª edición) y esperamos tener el manuscrito completo en las próximas semanas. El libro, que cubre Windows 2000, Windows XP y Windows Server 2003, muestra un crecimiento de aproximadamente el 20 % en la tercera edición. Creemos que encontrará el libro aún más valioso que la edición anterior, ya que además de expandir el material existente y agregar texto nuevo para cubrir los cambios de XP y 2003, hemos agregado material de solución de problemas para temas como el análisis del volcado de memoria, el inicio del sistema, la memoria, la CPU, el sistema de archivos y el registro.

Dado que estoy centrando mi tiempo en terminar el libro, este boletín es breve, pero continuaré con los boletines regulares una vez finalizado el libro. Mientras tanto, estoy incluyendo un artículo invitado de Dave Salomón sobre un uso más avanzado del Explorador de procesos que el que cubrí en el último boletín.

Disfrute y por favor comparta el boletín informativo a las personas que piense que lo considerarán interesante.

  • Mark Russinovich

Profundizando en la Actividad de subprocesos con el Explorador de procesos

Por Dave Salomón (daves@..., http://www.solsem.com)

El Explorador de procesos proporciona un acceso sencillo a la actividad de subprocesos dentro de un proceso. Esto es especialmente importante si intenta determinar por qué se ejecuta un proceso que hospeda varios servicios (como Svchost.exe, Dllhost.exe, Inetinfo.exe o el proceso del sistema) o por qué se bloquea un proceso.

Para ver los subprocesos de un proceso, seleccione un proceso y abra las propiedades del proceso (haga doble clic en el proceso o haga clic en el elemento de menú Propiedades> del proceso) y haga clic en la pestaña Subprocesos. Esto muestra una lista de los subprocesos del proceso, el porcentaje de CPU consumido (según el intervalo de actualización configurado), el número de contexto cambia al subproceso y la dirección de inicio del subproceso. Puede ordenar por cualquiera de estas tres columnas. Al seleccionar cada subproceso de la lista, el Explorador de procesos muestra el identificador de subproceso, la hora de inicio, el estado, los contadores de tiempo de CPU, el número de modificadores de contexto y la prioridad base y actual. Hay un botón Kill que finalizará un subproceso individual, pero debe usarse con extrema atención.

Los nuevos subprocesos creados se resaltan en verde y los subprocesos que salen están resaltados en rojo (la duración de resaltado se puede configurar con el elemento de menú Opciones-Configurar> resaltado). Esto puede resultar útil para detectar la creación innecesaria de subprocesos que se producen en un proceso (en general, los subprocesos se deben crear al iniciar el proceso y no cada vez que se procesa una solicitud dentro de un proceso).

La diferencia del conmutador de contexto representa el número de veces que el subproceso comenzó a ejecutarse entre las actualizaciones configuradas para el Explorador de procesos y es una manera diferente de determinar la actividad del subproceso que el porcentaje de CPU consumido, ya que muchos subprocesos se ejecutan durante una cantidad tan corta de tiempo que rara vez (o nunca) son el subproceso que se ejecuta actualmente cuando se produce la interrupción del temporizador del reloj del intervalo y, por tanto, no se les cobra por su tiempo de CPU.

La dirección de inicio del subproceso se muestra con el formato "module!function", donde module es el nombre del .EXE o .DLL. El nombre de la función se basa en el acceso a los archivos de símbolos del módulo, que se obtiene si configura el Explorador de procesos para usar el servidor de símbolos de Microsoft (consulte la ayuda incluida con las Herramientas de depuración de Microsoft para Windows, que puede descargar desde el sitio web de Microsoft en http://www.microsoft.com/whdc/devtools/debugging/default.mspx). Si no está seguro de cuál es el módulo, presione el botón módulo. Se abre una ventana de propiedades de archivo del Explorador para el módulo que contiene la dirección de inicio del subproceso (por ejemplo, el .EXE o .DLL). En el caso de los subprocesos creados por la función CreateThread de Windows, el Explorador de procesos muestra la función pasada a CreateThread, no la función de inicio del subproceso real. Esto se debe a que todos los subprocesos de Windows comienzan en una función contenedora de inicio de procesos o subprocesos comunes (BaseProcessStart o BaseThreadStart en Kernel32.dll). Si el Explorador de procesos muestra la dirección de inicio real, la mayoría de los subprocesos de los procesos parecen haberse iniciado en la misma dirección, lo que no sería útil para intentar comprender qué código estaba ejecutando el subproceso.

Sin embargo, la dirección de inicio del subproceso mostrada puede no ser suficiente información para identificar qué está haciendo el subproceso y qué componente dentro del proceso es responsable de la CPU consumida por el subproceso. Esto es especialmente cierto si la dirección de inicio del subproceso es una función de inicio genérica (por ejemplo, si el nombre de la función no indica lo que realmente está haciendo el subproceso). En este caso, examinar la pila de subprocesos puede responder a la pregunta. Para ver la pila de un subproceso, haga doble clic en el subproceso de interés (o selecciónelo y presione el botón Pila). El Explorador de procesos muestra la pila del subproceso (usuario y kernel, si el subproceso estaba en modo kernel). Aunque los depuradores en modo de usuario (Windbg, Ntsd y Cdb) le permiten asociar a un proceso y mostrar la pila de usuarios para un subproceso, el Explorador de procesos muestra tanto el usuario como la pila del kernel con solo hacer clic en un botón. También puede examinar las pilas de subprocesos de usuario y kernel mediante Livekd de Sysinternals, pero es más difícil de usar. Tenga en cuenta que la ejecución de Windbg en el modo de depuración del kernel local, que solo se admite en Windows XP o Windows Server 2003, no muestra pilas de subprocesos.

[Nota personal de Mark: esto me ayudó a resolver por qué Powerpoint se estaba colgando por un minuto cada vez que lo iniciaba. He usado el Explorador de procesos para ver la pila del subproceso en el proceso de Powerpoint; estaba esperando una llamada para conectarse a una impresora de red; resulta que tenía una conexión a una impresora de red que no respondía y dado que las aplicaciones de Microsoft Office se conectan a todas las impresoras configuradas en el inicio del proceso, Powerpoint se "bloqueaba" hasta que el intento de conectarse a la impresora agotara el tiempo de espera. Después de eliminar la conexión a la impresora, el problema se resolvió.]

NOVEDADES DE SYSINTERNALS

ACTUALIZACIONES DE LAS HERRAMIENTAS

Se han actualizado varias herramientas desde el último boletín de noticias de abril. Este es un resumen de las mejoras:

Explorador de procesos

El Explorador de procesos es un reemplazo del Administrador de tareas (incluso puede reemplazar el Administrador de tareas por completo por una selección en el menú Opciones del Explorador de procesos).

  • La pestaña TCP/IP en las propiedades del proceso muestra las conexiones TCP y UDP; los cambios se resaltan en color, lo que facilita la visualización de conexiones nuevas y cerradas
  • Versión de 64 bits para sistemas AMD64
  • Compatibilidad con la configuración de máscaras de afinidad de procesos en sistemas SMT (hiperproceso) y SMP
  • Mostrar mejoras en el rendimiento de las actualizaciones

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DebugView

DebugView es una utilidad para desarrolladores que permite capturar la salida de depuración en modo de usuario y modo kernel sin un depurador localmente o a través de la red.

  • Búferes de usuario y modo kernel más grandes
  • Más filtros de resaltado
  • Ajuste del archivo de registro
  • Compatibilidad con la salida de depuración del kernel de Windows XP SP2
  • Borra la salida cuando ve una cadena de depuración especial "borrar salida"

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves es una nueva utilidad de Sysinternals que muestra los comandos de movimiento y eliminación de archivos programados en un sistema para que tengan lugar el siguiente arranque.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore es una utilidad de línea de comandos que aprovecha el "tomboseo" de Active Directory (AD) de Windows Server 2003 para proporcionar una funcionalidad de recuperación limitada para objetos de AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Protector de pantalla de tipo pantalla azul

Este protector de pantalla, que imita la pantalla azul de muerte, ahora admite sistemas multimonitor y de Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

Esta nueva utilidad de línea de comandos muestra la lista de sesiones de inicio de sesión en un sistema, incluida las de red, interactivas y por lotes, y también muestra los procesos que se ejecutan en cada sesión.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

El conjunto Pstools consta de 11 herramientas de línea de comandos administrativas que funcionan local y remotamente. Muchos de ellos se han actualizado en los últimos meses para incluir compatibilidad con varios sistemas informáticos que puede especificar en la línea de comandos o en un archivo de texto.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Autoruns muestra la lista más completa de ubicaciones del registro y del sistema de archivos de Windows que las aplicaciones pueden usar para configurarse automáticamente durante el proceso de arranque.

  • Las ubicaciones del registro y del sistema de archivos ahora abarcan varias columnas para facilitar la lectura
  • Opción para mostrar solo entradas que no son de Microsoft, lo que facilita ver qué software que no es de MS está configurado para iniciarse al iniciar sesión
  • Ahora puede deshabilitar una entrada sin eliminarla del Registro (hace que Autoruns ahora sea un superconjunto de Msconfig).
  • Opción para mostrar los servicios configurados para iniciarse en el momento del arranque

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Además de las actualizaciones de herramientas, hay una actualización de un artículo técnico:

Referencia de la opción de Boot.ini

Esta referencia ahora incluye modificadores boot.ini agregados en Windows XP y Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS ES UN SITIO DE LA COMUNIDAD DE MICROSOFT WINDOWS XP

Sysinternals ha sido un sitio de la comunidad para Windows XP Embedded en Microsoft.com durante varios años y ahora estoy orgulloso de anunciar que Microsoft también ha hecho un sitio de la comunidad de Sysinternals en la página Windows XP Expert Zone:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

¡BUSCANDO CASOS DE ÉXITO DE SYSINTERNALS!

A mis audiencias en mis seminarios y presentaciones de conferencias les encanta escuchar historias de éxito reales, por lo que si realizó una solución de problemas con las herramientas de Sysinternals me encantaría que me lo contara. Cuando me envíe una historia a mark@... participará en el sorteo mensual de una camiseta de Sysinternals de edición limitada. Sea lo más detallado posible sobre cómo usó la herramienta Sysinternals para resolver el problema y, si es posible y aplicable, envíe capturas de pantalla o archivos de registro (Filemon y Regmon pueden guardar su salida en un archivo de texto).

ARTÍCULOS DE LA REVISTA

Psexec

Este artículo que escribí para el problema de julio solo está disponible actualmente para los suscriptores de Windows y .NET Magazine. Trata sobre el uso avanzado de Psexec y describe cómo funciona e interactúa con la seguridad de Windows.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

El hoax de optimización de memoria

En este artículo de Windows y .NET Magazine, que está disponible para los no suscriptores, describo el comportamiento engañoso de los "optimizadores de RAM".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

PRÁCTICAS INTERNAS DE WINDOWS Y LA CLASE DE SOLUCIÓN DE PROBLEMAS AVANZADA

27 de septiembre al 1 de octubre de 2004 - San Francisco

Por primera vez abierto al público, David Solomon y yo vamos a presentar la versión práctica de 5 días de nuestra clase de solución avanzada de problemas internos y de Windows 2000/XP/2003 en San Francisco, del 27 de septiembre al 1 de octubre de 2004. (Los asistentes deben traer su propio portátil; los detalles de configuración se proporcionarán con antelación; no se requiere ninguna compra de software adicional).

Esta es la misma clase que enseñamos a los empleados de Microsoft en todo el mundo. Trata sobre los aspectos internos de los procesos y subprocesos, programación de subprocesos, administración de memoria, seguridad, registro y sistema de E/S. Profundiza en mecanismos como subprocesos del sistema, distribución de llamadas del sistema, control de interrupciones, apagado y inicio. Obtenga información sobre técnicas avanzadas de solución de problemas mediante las herramientas de Sysinternals y cómo realizar el análisis del volcado de memoria.

¿Por qué tomar esta clase? Si es un profesional de TI que implementa y admite servidores y estaciones de trabajo de Windows, debe poder profundizar debajo de la superficie cuando se produzcan errores. Tener conocimiento de los aspectos internos del sistema operativo Windows y saber cómo usar herramientas avanzadas de solución de problemas le ayudará a solucionar estos problemas y comprender los problemas de rendimiento del sistema de forma más eficaz. Comprender los elementos internos puede ayudar a los programadores a aprovechar mejor la plataforma Windows, así como proporcionar técnicas avanzadas de depuración. Y dado que el curso se desarrolló con acceso completo al código fuente del kernel de Windows y a los desarrolladores, sabe que está obteniendo la historia real.

Para más información y registro, visite

http://www.sysinternals.com/troubleshoot.shtml

PROGRAMACIÓN DE CONFERENCIAS DE MARK

Después de hacer conferencias en Microsoft TechEd US y TechEd Europe en mayo y junio, estoy disfrutando del verano en casa en el soleado Texas. Estos son mis tres compromisos de conferencia:

TECHMENTOR

Del 27 de septiembre al 1 de octubre de 2004 San Jose, CA

En esta conferencia impartiré cuatro sesiones, todas el 29 de septiembre, entre ellas "Windows y Linux: A Tale of Two Kernels". Las otras sesiones que estaré presentando son "Análisis de bloqueo y volcado de memoria de Windows", "Cambios del kernel de Windows XP y Windows Server 2003" y "Solución de problemas de arranque e inicio de Windows".

Puede leer mis resúmenes y encontrar un vínculo a la página de registro de conferencias en .

http://www.sysinternals.com/ntw2k/info/talk.shtml

CONEXIONES DE WINDOWS

24-27 de octubre de 2004 Orlando, FL

En esta conferencia impartiré mi charla "Solución de problemas de arranqueey inicio de Windows" como sesión general y también presentaré "Solución de problemas de Windows con las herramientas de Sysinternals", ambas el día 24 (me enorgullece decir que Microsoft Network - MSN - me ha invitado a presentar como ponente principal una sesión de solución de problemas de Windows de un día de duración en su Conferencia anual de excelencia de ingeniería de MSN esa misma semana en Seattle).

Lea los resúmenes y vaya al sitio de conferencia desde

http://www.sysinternals.com/ntw2k/info/talk.shtml

FORO DE TI DE MICROSOFT

Copenhague, Dinamarca

Voy a impartir una sesión tutorial previa a la conferencia de un día de duración con Dave Solomon sobre los aspectos internos de seguridad principales de Windows, así como varias sesiones paralelas por mi cuenta que aún están por determinar. Puede encontrar el resumen del tutorial previo a la conferencia e información sobre la inscripción aquí: http://www.microsoft.com/europe/msitforum/

Gracias por leer el Boletín de Sysinternals.

Publicado el viernes 30 de julio de 2004 4:39 p. m. por ottoh

[Archivo de boletines ^] [< Volumen 6, Número 1] [Volumen 7, Número 1 >]