다음을 통해 공유

  • 아티클

[회보 보관 ^] [< 볼륨 6, 번호 1] [볼륨 7, 번호 1 >]

Systems Internals 뉴스레터 6권, 2호

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

2004년 7월 30일 - 이번 호:

  1. 사설

    • Process Explorer를 사용하여 스레드 세부 정보 파헤치기에 대한 Dave Solomon 게스트 기사

  2. SYSINTERNALS의 새로운 소식

    • 도구 업데이트
    • Sysinternals는 Microsoft Windows XP 커뮤니티 사이트입니다.

  3. SYSINTERNALS 성공 사례 요청

    • 성공 사례를 보내주시고 Sysinternals 티셔츠를 받아가세요!

  4. 잡지 기사

    • PsExec
    • 메모리 최적화 사기

  5. 실습 WINDOWS INTERNALS 및 고급 문제 해결 클래스

    • 샌프란시스코 - 9월 27일-10월 1일

  6. MARK의 연설 일정

    • TechMentor
    • Windows 연결
    • Microsoft IT 포럼

Sysinternals Newsletter는 Winternals Software(Web, http://www.winternals.com.)에서 후원합니다 Winternals는 Microsoft Enterprise에 지능형 복구를 제공합니다.

곧 출시될 Windows XP 서비스 팩 2는 많은 이점을 제공하지만 OS 및 애플리케이션 내에서 원치 않거나 예기치 않은 동작이 발생할 수 있습니다. Winternals Recovery Manager를 사용하면 시스템이 부팅할 수 없게 된 경우에도 패치 및 서비스 팩의 영향을 받는 시스템을 안전하고 신속하게 롤백할 수 있습니다. Recovery Manager에 대해 자세히 알아보고 평가판 CD를 요청하려면 http://www.winternals.com/es/solutions/recoverymanager.asp을(를) 방문하세요.

사설

Dave Solomon과 저는 "Inside Windows 2000"의 다음 판("Windows Internals", 4판) 작업에 몰두하고 있으며 다음 몇 주 안에 원고가 완성될 것으로 기대하고 있습니다. Windows 2000, Windows XP, Windows Server 2003을 다루는 이 책은 3판에 비해 약 20% 더 분량이 많아졌습니다. 기존 자료를 확장하고 XP 및 2003년 변경 사항을 다룰 새로운 텍스트를 추가하는 것 외에도 크래시 덤프 분석, 시스템 시작, 메모리, CPU, 파일 시스템 및 레지스트리와 같은 주제에 대한 문제 해결 자료를 추가했기 때문에 이전 버전보다 이 책이 훨씬 더 가치 있다고 생각합니다.

책을 마무리하는 데 시간을 집중하고 있기 때문에 이 뉴스레터의 분량이 짧지만 저술이 끝나면 정기적인 뉴스레터를 계속하겠습니다. 그동안 저는 지난 뉴스레터에서 다루었던 것보다 Process Explorer의 고급 사용에 대한 Dave Solomon의 게스트 기사를 포함하고 있습니다.

뉴스레터를 즐기시고 흥미로울 것이라고 생각되는 사람들에게 뉴스레터를 전달하세요!

  • Mark Russinovich

Process Explorer를 사용하여 스레드 활동 파고들기

작성자: Dave Solomon(daves@..., http://www.solsem.com)

Process Explorer는 프로세스 내의 스레드 활동에 쉽게 액세스할 수 있도록 합니다. 이는 여러 서비스(예: Svchost.exe, Dllhost.exe, Inetinfo.exe 또는 시스템 프로세스)를 호스팅하는 프로세스가 실행 중인 이유나 프로세스가 중단된 이유를 확인하려는 경우에 특히 중요합니다.

프로세스의 스레드를 보려면 프로세스를 선택하고 프로세스 속성을 열고(프로세스를 두 번 클릭하거나 프로세스 - >속성 메뉴 항목을 클릭함) 스레드 탭을 클릭합니다. 이렇게 하면 프로세스의 스레드 목록, 구성된 새로 고침 간격에 따라 소비된 CPU 비율, 스레드에 대한 컨텍스트 전환 수 및 스레드 시작 주소가 표시됩니다. 이 세 열 중 하나를 기준으로 정렬할 수 있습니다. 목록에서 각 스레드를 선택하면 Process Explorer에 스레드 ID, 시작 시간, 상태, CPU 시간 카운터, 컨텍스트 스위치 수, 기본 및 현재 우선 순위가 표시됩니다. 개별 스레드를 종료하는 종료 버튼이 있지만 매우 주의해서 사용해야 합니다.

생성된 새 스레드는 녹색으로 강조 표시되고 종료된 스레드는 빨간색으로 강조 표시됩니다(강조 표시 기간은 옵션->강조 표시 구성 메뉴 항목으로 구성할 수 있음). 이는 프로세스에서 발생하는 불필요한 스레드 생성을 발견하는 데 도움이 될 수 있습니다(일반적으로 스레드는 프로세스 내부에서 요청이 처리될 때마다 생성되는 것이 아니라 프로세스 시작 시 생성되어야 함).

컨텍스트 전환 델타는 Process Explorer에 대해 구성된 새로 고침 사이에 스레드가 실행되기 시작한 횟수를 나타내며 사용된 CPU의 백분율과 다른 방식으로 스레드 작업을 결정합니다. 많은 스레드가 너무 짧은 시간 동안 실행되기 때문에 인터벌 클록 타이머 인터럽트가 발생할 때 현재 실행되고 있는 스레드가 거의 없고 따라서 CPU 시간에 대해 충전되지 않기 때문입니다.

스레드 시작 주소는 "module!function" 형식으로 표시되며 여기서 module은 .EXE 또는 .DLL의 이름입니다. 함수 이름은 모듈의 기호 파일에 대한 액세스에 의존합니다. 이 파일은 Microsoft 기호 서버를 사용하도록 Process Explorer를 구성하는 경우 얻을 수 있습니다(Windows용 Microsoft 디버깅 도구 포함 도움말 참조, 해당 도구는 http://www.microsoft.com/whdc/devtools/debugging/default.mspx).의 Microsoft 웹 사이트에서 다운로드 가능). 모듈이 무엇인지 확실하지 않으면 모듈 버튼을 누르세요. 그러면 스레드의 시작 주소(예: .EXE 또는 .DLL)가 포함된 모듈에 대한 탐색기 파일 속성 창이 열립니다. Windows CreateThread 함수에 의해 생성된 스레드의 경우 Process Explorer는 실제 스레드 시작 함수가 아니라 CreateThread에 전달된 함수를 표시합니다. 이는 모든 Windows 스레드가 공통 프로세스 또는 스레드 시작 래퍼 함수(Kernel32.dll의 BaseProcessStart 또는 BaseThreadStart)에서 시작하기 때문입니다. Process Explorer에 실제 시작 주소가 표시되면 프로세스의 대부분의 스레드가 동일한 주소에서 시작된 것으로 나타나므로 스레드가 실행 중인 코드를 이해하는 데 도움이 되지 않습니다.

그러나 표시되는 스레드 시작 주소는 스레드가 수행하는 작업과 프로세스 내에서 스레드가 소비하는 CPU를 담당하는 구성 요소를 정확히 지적하는 데 충분한 정보가 아닐 수 있습니다. 스레드 시작 주소가 일반 시작 함수인 경우(예: 함수 이름이 스레드가 실제로 수행하는 작업을 나타내지 않는 경우) 특히 그렇습니다. 이 경우 스레드 스택을 검사하면 질문에 답할 수 있습니다. 스레드의 스택을 보려면 관심 있는 스레드를 두 번 클릭하거나 스레드를 선택하고 스택 버튼을 누릅니다. Process Explorer는 스레드의 스택(스레드가 커널 모드인 경우 사용자 및 커널 모두)을 표시합니다. 사용자 모드 디버거(Windbg, Ntsd 및 Cdb)를 사용하면 프로세스에 연결하고 스레드에 대한 사용자 스택을 표시할 수 있지만 Process Explorer는 버튼을 한 번만 클릭하면 사용자 및 커널 스택을 모두 표시합니다. Sysinternals의 Livekd를 사용하여 사용자 및 커널 스레드 스택을 검사할 수도 있지만 사용하기가 더 어렵습니다. Windows XP 또는 Windows Server 2003에서만 지원되는 로컬 커널 디버깅 모드에서 Windbg를 실행하면 스레드 스택이 표시되지 않습니다.

[Mark의 개인 메모 - Powerpoint를 시작할 때마다 1분 동안 멈추는 이유를 해결하는 데 도움이 되었습니다. Process Explorer를 사용하여 Powerpoint 프로세스에서 한 스레드의 스택을 살펴보았습니다. 네트워크 프린터에 연결하기 위해 호출을 기다리고 있었습니다. 응답하지 않는 네트워크 프린터에 연결되어 있었고 Microsoft Office 애플리케이션이 프로세스 시작 시 구성된 모든 프린터에 연결되기 때문에 Powerpoint는 프린터 연결 시도가 시간 초과될 때까지 "중지"되었습니다. 프린터 연결을 삭제하고 나니 문제가 사라졌습니다.]

SYSINTERNALS의 새로운 소식

도구 업데이트

지난 4월 뉴스레터 이후 여러 도구가 업데이트되었습니다. 향상된 기능에 대한 요약은 다음과 같습니다.

Process Explorer

Process Explorer는 작업 관리자를 대체합니다(Process Explorer의 옵션 메뉴에서 선택한 항목으로 작업 관리자를 모두 대체할 수도 있음).

  • 프로세스 속성의 TCP/IP 탭에는 TCP 및 UDP 연결이 표시됩니다. 변경 사항이 색상으로 강조 표시되어 새롭고 닫힌 연결을 쉽게 볼 수 있습니다.
  • AMD64 시스템용 64비트 버전
  • SMT(하이퍼스레드) 및 SMP 시스템에서 프로세스 선호도 마스크 설정 지원
  • 디스플레이 업데이트 성능 향상

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DebugView

DebugView는 디버거 없이 로컬 또는 네트워크 전체에서 사용자 모드 및 커널 모드 디버그 출력을 캡처할 수 있는 개발자 유틸리티입니다.

  • 더 큰 커널 모드 및 사용자 버퍼
  • 더 많은 하이라이트 필터
  • 로그 파일 래핑
  • Windows XP SP2 커널 디버그 출력 지원
  • 특수 "출력 지우기" 디버그 문자열이 표시되면 출력을 지웁니다.

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves는 다음 부팅 시 시스템에서 예약된 파일 이동 및 삭제 명령을 보여주는 새로운 Sysinternals 유틸리티입니다.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore는 AD 개체에 대한 제한된 삭제 취소 기능을 제공하기 위해 Windows Server 2003 AD(Active Directory) "삭제 표시"를 활용하는 명령줄 유틸리티입니다.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

블루 스크린 화면 보호기

죽음의 블루 스크린을 모방한 이 화면 보호기는 이제 다중 모니터 시스템과 Windows Server 2003을 지원합니다.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

이 새로운 명령줄 유틸리티는 네트워크, 대화식 및 배치를 포함하여 시스템의 로그온 세션 목록을 표시하고 각 세션에서 실행 중인 프로세스도 표시합니다.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

Pstools 제품군은 로컬 및 원격으로 작동하는 11개의 관리 명령줄 도구로 구성됩니다. 명령줄이나 텍스트 파일에서 지정할 수 있는 여러 컴퓨터 시스템에 대한 지원을 포함하도록 지난 몇 달 동안 대부분이 업데이트되었습니다.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

자동 실행

자동 실행은 애플리케이션이 부팅 프로세스 중에 자동으로 시작되도록 구성하는 데 사용할 수 있는 Windows 레지스트리 및 파일 시스템 위치의 가장 포괄적인 목록을 보여줍니다.

  • 파일 시스템 및 레지스트리 위치는 이제 더 쉽게 읽을 수 있도록 여러 열에 걸쳐 있습니다.
  • 비 Microsoft 항목만 표시하는 옵션으로 로그인할 때 시작하도록 구성된 비 MS 소프트웨어를 쉽게 확인할 수 있습니다.
  • 이제 레지스트리에서 항목을 삭제하지 않고 항목을 비활성화할 수 있습니다(이제 자동 실행이 Msconfig의 상위 집합이 됨).
  • 부팅 시 시작하도록 구성된 서비스를 표시하는 옵션

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

도구 업데이트 외에도 기술 문서에 대한 업데이트가 있습니다.

Boot.ini 옵션 참조

이제 이 참조에는 Windows XP 및 Windows Server 2003에 추가된 boot.ini 스위치가 포함됩니다.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS는 MICROSOFT WINDOWS XP 커뮤니티 사이트입니다.

Sysinternals는 몇 년 동안 Microsoft.com에서 Windows XP Embedded용 커뮤니티 사이트였으며 이제 Microsoft가 Windows XP Expert Zone 페이지에서 Sysinternals를 커뮤니티 사이트로 만들었다는 사실을 발표하게 되어 자랑스럽습니다.

http://www.microsoft.com/windowsxp/expertzone/default.mspx

SYSINTERNALS 성공 사례를 찾고 있습니다!

제 세미나 및 컨퍼런스 프레젠테이션의 청중은 실제 성공 사례를 듣는 것을 매우 좋아합니다. Sysinternals 도구로 문제를 해결하는 방법이 있다면 저도 듣고 싶습니다. mark@로 저에게 경험담을 하나 보내주시면... 절판된 한정판 Sysinternals 티셔츠를 받을 수 있는 월간 추첨에 응모할 수 있는 기회를 드리겠습니다. Sysinternals 도구를 사용하여 문제를 해결한 방법에 대해 가능한 한 자세히 설명하고 가능하고 적용 가능한 경우 스크린샷 및/또는 로그 파일을 보내세요(Filemon 및 Regmon 모두 출력을 텍스트 파일로 저장할 수 있음).

잡지 기사

Psexec

7월호를 위해 작성한 이 기사는 현재 Windows 및 .NET Magazine 구독자에게만 제공됩니다. 고급 Psexec 사용법을 다루고 그것이 어떻게 작동하고 Windows 보안과 상호 작용하는지 설명합니다.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

메모리 최적화 사기

비구독자가 이용할 수 있는 이 Windows 및 .NET 매거진에서 소위 "RAM 옵티마이저"의 기만적인 동작에 대해 설명합니다.

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

실습 Windows 내부 및 고급 문제 해결 수업

2004년 9월 27일~10월 1일 - 샌프란시스코

데이비드 솔로몬과 저는 처음으로 2004년 9월 27일부터 10월 1일까지 샌프란시스코에서 Windows 2000/XP/2003 내부 및 고급 문제 해결 클래스의 5일 실습 버전을 발표합니다. (참석자는 자신의 노트북을 가져와야 합니다. 구성 세부 정보는 사전에 제공되며 추가 소프트웨어를 구매할 필요가 없습니다.)

이는 저희가 전 세계 Microsoft 직원에게 가르치는 것과 동일한 수업입니다. 프로세스 및 스레드, 스레드 예약, 메모리 관리, 보안, 레지스트리 및 I/O 시스템의 내부를 다룹니다. 시스템 스레드, 시스템 호출 디스패치, 인터럽트 처리, 시작 및 종료와 같은 메커니즘을 자세히 설명합니다. Sysinternals 도구를 사용하는 고급 문제 해결 기술과 크래시 덤프 분석을 수행하는 방법을 알아보세요.

이 수업을 수강하는 이유는 무엇인가요? Windows 서버와 워크스테이션을 배포하고 지원하는 IT 전문가라면 상황이 잘못되었을 때 그 이면을 파고들 수 있어야 합니다. Windows 운영 체제의 내부를 이해하고 고급 문제 해결 도구를 사용하는 방법을 알고 있으면 이러한 문제를 처리하고 시스템 성능 문제를 보다 효과적으로 이해하는 데 도움이 됩니다. 내부를 이해하면 프로그래머가 Windows 플랫폼을 더 잘 활용하고 고급 디버깅 기술을 제공하는 데 도움이 될 수 있습니다. 그리고 이 과정은 Windows 커널 소스 코드 및 개발자에 대한 전체 액세스 권한으로 개발되었기 때문에 실제 이야기를 듣고 있다는 것을 알고 있습니다.

자세한 내용 및 등록은 다음을 방문하세요.

http://www.sysinternals.com/troubleshoot.shtml

MARK의 연설 일정

5월과 6월에 Microsoft TechEd US 및 TechEd Europe에서 연설한 후 저는 화창한 텍사스의 집에서 여름을 즐기고 있습니다. 다음 세 가지 컨퍼런스 연설 계약은 다음과 같습니다.

TECHMENTOR

2004년 9월 27일~10월 1일 캘리포니아주 산호세

저는 이 컨퍼런스에서 "Windows와 Linux: 두 개의 커널에 관한 이야기"를 기조 연설로 포함하여 모두 9월 29일에 열리는 4개의 세션을 발표할 예정입니다. 제가 발표하는 다른 세션은 "Windows 중단 및 크래시 덤프 분석", "Windows XP 및 Windows Server 2003 커널 변경 사항" 및 "Windows 부팅 및 시작 문제 해결"입니다.

제 초록을 읽고 컨퍼런스 등록 페이지에 대한 링크를 찾을 수 있습니다.

http://www.sysinternals.com/ntw2k/info/talk.shtml

Windows 연결

2004년 10월 24-27일 플로리다 주 올랜도

이 컨퍼런스에서 저는 일반 세션으로 "Windows 부팅 및 시작 문제 해결" 강연을 하고 있으며, 24일에는 "시스템 내부 도구를 사용한 Windows 문제 해결"에 대해 발표하고 있습니다(Microsoft Network - MSN - 이 시애틀에서 열리는 연례 MSN Engineering Excellence 컨퍼런스에서 하루 동안의 Windows 문제 해결 세션에 대해 발표하도록 저를 초대한 것을 자랑스럽게 생각합니다).

초록을 읽고 컨퍼런스 사이트로 이동하세요.

http://www.sysinternals.com/ntw2k/info/talk.shtml

Microsoft IT 포럼

코펜하겐, 덴마크

저는 아직 결정되지 않은 몇 가지 브레이크아웃 세션뿐만 아니라 Windows 핵심 보안 내부에 대해 Dave Solomon과 함께 하루 종일 컨퍼런스 전 자습서 세션을 진행하고 있습니다. 여기에서 사전 컨퍼런스 자습서 요약 및 등록 정보를 찾을 수 있습니다: http://www.microsoft.com/europe/msitforum/

Sysinternals 뉴스레터를 읽어주셔서 감사합니다.

발행일: 2004년 7월 30일 금요일 오후 4:39 ottoh

[회보 보관 ^] [< 볼륨 6, 번호 1] [볼륨 7, 번호 1 >]