Compartilhar via

  • Artigo

[Arquivo de Boletins Informativos ^] [< Volume 4, Número 3] [Volume 5, Número 2 >]

O Boletim Informativo Interno dos Sistemas Volume 5, Número 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich

19 de fevereiro de 2003 - Nesta edição:

  1. EDITORIAL

  2. NOVIDADES NO SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals na Microsoft

  3. INFORMAÇÕES INTERNAS

    • Novo vídeo interno do XP/Server 2003
    • Mark e David Solomon ensinam internos e solução de problemas em Seattle
    • Critérios comuns do Windows 2000 SP3 certificados
    • Visual Studio: Colocar um relógio em LastError
    • O valor do Registro LameButtonText explicado
    • Histórico de Desenvolvimento do Windows
    • Introdução à análise de despejo de memória

O Boletim Informativo Sysinternals é patrocinado pela Winternals Software, na Web em http://www.winternals.com. O Winternals Software é o desenvolvedor líder e provedor de ferramentas de sistemas avançados para Windows NT/2K/XP. Os produtos winternals software incluem ERD Commander 2002, NTFSDOS Professional Edition (um driver NTFS de leitura/gravação para DOS) e Recuperação Remota.

A Winternals tem o orgulho de anunciar o Defrag Manager versão 2.10, o desfragmentador empresarial mais rápido e completo disponível. Agora você pode gerenciar agendamentos de desfragmentação em toda a sua empresa windows a partir de um snapin MMC simples , sem precisar instalar nenhum software cliente em seus sistemas NT, Windows 2000 ou Windows XP. Visite http://www.winternals.com/es para obter mais informações ou para solicitar uma versão de avaliação gratuita de 30 dias.

Olá, pessoal.

Bem-vindos ao boletim informativo do Sysinternals. Atualmente, o boletim informativo tem 36.000 assinantes.

Tenho o prazer de informá-lo que David Solomon é o autor convidado do editorial deste mês, onde ele descreve algumas de suas experiências de solução de problemas do mundo real com vários utilitários Sysinternals.

Passe o boletim informativo para amigos que você acha que podem estar interessados no seu conteúdo.

Agradecemos!

-Mark

EDITORIAL - por David Solomon

Tenho um novo lema: "Em caso de dúvida, execute Filemon e Regmon (e Process Explorer)".

Antes de explicar, deixe-me primeiro agradecer a Mark por me convidar para escrever este editorial convidado (é claro, uma vez que este relatório brilhante sobre como suas ferramentas são úteis, não é como se ele estivesse me fazendo um grande favor ou qualquer coisa!).

Como muitos de vocês sabem, Mark e eu trabalhamos juntos para ajudar a educar as pessoas sobre os internos do Windows. Nosso projeto mais recente foi uma atualização do tutorial de vídeo interno do Windows 2000 que criamos no ano passado para cobrir as alterações de kernel no Windows XP e no Windows Server 2003, e nossa próxima classe interna pública do Windows é de 21 a 23 de abril em Bellevue, Washington. Veja detalhes sobre ambos nas seções relevantes deste boletim informativo. E, como muitos nos perguntaram, estamos no processo do nosso livro Dentro do Windows 2000 para XP Server 2003 (a data de lançamento provisório é final do verão).

E agora, por que estou tão entusiasmado com as ferramentas do Sysinternals? Porque no último ano ou assim, eles me ajudaram a solucionar problemas e resolver uma ampla variedade de problemas de aplicativo e sistema que de outra forma seriam insolúveis. Na verdade, não consigo começar a descrever o número de problemas totalmente diferentes e não relacionados que pude solucionar com essas ferramentas. Mesmo nos casos em que eu não achava que eles ajudariam, eles ajudaram. Daí meu novo lema, "Quando estiver em dúvida, execute Filemon e Regmon".

Há duas técnicas básicas que encontrei para aplicar estas ferramentas:

  1. Examine a última coisa no rastreamento Filemon/Regmon que o aplicativo fez antes de falhar. Isso pode apontar para o problema.
  2. Compare um rastreamento Filemon/Regmon do aplicativo com falha com um rastreamento de um sistema de trabalho.

Na primeira abordagem, execute Filemon e Regmon e execute o aplicativo. No ponto em que a falha ocorre, volte para Filemon e Regmon e interrompa o registro em log (pressione CONTROL+E). Em seguida, vá para o final do log e localize as últimas operações executadas pelo aplicativo antes que ele falhe (com falha, travado ou qualquer outra coisa). Começando com a última linha, trabalhe para trás examinando os arquivos e/ou as chaves do Registro referenciadas com frequência, isso ajudará a identificar o problema.

Use a segunda abordagem quando o aplicativo falhar em um sistema, mas funcionar em outro. Capture um rastreamento Filemon e Regmon do aplicativo no sistema em funcionamento e com falha e salve a saída em um arquivo de log. Em seguida, abra os arquivos de log bons e inválidos com o Excel (use os padrões no assistente de importação) e exclua as três primeiras colunas (caso contrário, a comparação mostrará cada linha como diferente, já que as três primeiras colunas contêm informações diferentes da execução para execução, como a hora e a ID do processo). Por fim, compare os arquivos de log resultantes (por exemplo, com o WinDiff, que no Windows XP está incluído nas Ferramentas de Suporte gratuitas que você pode instalar fora do CD XP ou para Windows NT4 e Windows 2000, você pode encontrá-lo no Kit de Recursos).

Agora, alguns exemplos da vida real.

Em uma estação de trabalho do Windows 2000 com o Microsoft Office 97 instalado, Word obteria um Dr. Watson logo após a inicialização. Você poderia digitar alguns caracteres antes do Dr. Watson ocorrer, mas se você digitasse algo ou não, dentro de alguns segundos após o início, Word falharia. É claro que o usuário tentou desinstalar e reinstalar o Office, mas o problema permaneceu. Então, eu corri Filemon e Regmon e olhei para a última coisa feita por Word antes de morrer. O rastreamento filemon mostrou que a última coisa que Word fez foi abrir uma DLL de impressora HP. Acontece que a estação de trabalho não tinha impressora, mas aparentemente tinha ao mesmo tempo. Então, excluí a impressora HP do sistema e o problema desapareceu!

Aparentemente, Word está enumerando as impressoras após a inicialização fez com que essa DLL fosse carregada, o que, por sua vez, fez com que o processo morresse (por que isso aconteceu, talvez o usuário não tivesse instalado uma versão falsa; mas como o sistema não tinha mais uma impressora, isso realmente não importava).

Em outro exemplo, o Regmon salvou um usuário de fazer uma reinstalação completa de seu sistema de área de trabalho do Windows XP. O sintoma era que o IE (internet Explorer) travava na inicialização se o usuário não discasse a conexão com a Internet manualmente primeiro. Essa conexão com a Internet foi definida como a conexão padrão para o sistema, portanto, iniciar o IE deve ter causado uma discagem automática para a Internet (porque o IE foi definido para exibir uma home page padrão na inicialização). Seguindo meu novo lema, corri Filemon e Regmon e olhei para trás do ponto no log onde o IE estava pendurado. O Filemon não mostrou nada incomum, mas o log regmon mostrou uma consulta a uma chave HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT. O usuário havia me dito que tinha o programa de discagem ATT instalado ao mesmo tempo, mas o desinstalou e criou manualmente a conexão discada. Como o nome da conexão discada não era "ATT", suspeitei que isso foi deixado sobre o lixo do Registro da desinstalação que estava fazendo com que o IE se engasgasse. Então, renomeei a chave e o problema desapareceu!

Usar a técnica "comparar os logs" ajudou a resolver por que o Access 2000 estava pendurado na estação de trabalho XP de um programador tentando importar um arquivo do Excel. A importação do mesmo arquivo funcionou bem nas estações de trabalho de outros usuários, mas falhou nesta estação de trabalho. Portanto, foi feita uma captura do Access no sistema em funcionamento e com falha. Depois de massacrar adequadamente os arquivos de log, eles foram comparados com Windiff. As primeiras diferenças ocorreram devido a nomes de arquivos temporários serem diferentes e devido a alguns nomes de arquivo serem diferentes devido a diferenças de caso, mas é claro que não eram "diferenças relevantes" entre os dois sistemas.

A primeira diferença que não era ok era que uma DLL de \Windows\System32 acesso estava sendo carregada no sistema com falha, mas da \Program Files\Microsoft Office\Office pasta no sistema de trabalho. Comparar as DLLs revelou que a versão em \Windows\System32 era de uma versão anterior do Access. Portanto, o usuário renomeou essa DLL para .bad e executou novamente o Access e o problema desapareceu!

Uma classe de problemas para os quais o Filemon é incrivelmente útil é descobrir problemas de permissão de arquivo. Muitos aplicativos fazem um trabalho ruim de relatar erros de acesso negado. No entanto, a execução de Filemon revela claramente falhas desse tipo, pois a coluna de resultados mostra "ACESSO NEGADO" para falhas ao abrir arquivos devido a problemas de direitos (e a versão mais recente mostra até mesmo o nome de usuário que não conseguiu acessar o arquivo). Dois exemplos específicos em que esse foi o caso:

  1. Um usuário estava recebendo um erro de Macro estranho ao iniciar Word; acontece que as permissões em um . O arquivo DOT referenciado por uma macro foi alterado para não permitir o acesso desse usuário. Filemon mostrou claramente Word obter um erro de acesso negado no arquivo .DOT. Depois que as permissões foram corrigidas, o problema desapareceu.
  2. Um aplicativo do Outlook apareceu em uma caixa de mensagem que dizia Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]-outro exemplo de quantos aplicativos geram mensagens de erro inúteis em falhas aleatórias de E/S. Novamente, a execução do Filemon revelou um erro de acesso negado (desta vez para uma pasta que o Outlook precisava acessar). As permissões foram ajustadas na pasta e o problema desapareceu.

Estes são apenas alguns exemplos - eu tenho muitas outras histórias de sucesso onde Filemon e Regmon (e Process Explorer, que eu não discuti aqui) salvaram o dia. Não é à toa que o Suporte a Produtos da Microsoft usa essas ferramentas diariamente para ajudar a resolve problemas do cliente (na última contagem, cerca de 40 artigos da Base de Dados de Conhecimento apontam para as ferramentas de Mark para ver http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml uma lista).

Então, em caso de dúvida, execute Filemon e Regmon!

Seminários especializados de David Solomon David Solomon http://www.solsem.com

NOVIDADES NO SYSINTERNALS

FILEMON V5.01

Filemon, um dos utilitários que David destaca em seu editorial, passou por sua primeira grande revisão em vários anos. A nova versão traz um novo nível de usabilidade para uma ferramenta que já tinha uma interface do usuário acessível. O aprimoramento mais significativo é a alteração de como a atividade do sistema de arquivos é apresentada na configuração padrão do Filemon quando executada no Windows NT, 2000, XP ou Server 2003, algo que eu estava pensando há algum tempo e que finalmente implementei com base nos comentários reais do usuário de David.

Versões anteriores do Filemon exibem operações do sistema de arquivos com os nomes textuais das solicitações de E/S internas que executam as operações. Embora tecnicamente preciso em sua apresentação, muitos usuários não estão familiarizados com o funcionamento interno do subsistema de E/S do Windows e encontram operações como FASTIO_CHECK_IF_POSSIBLE sem sentido e outras, como uma falha relatada de uma FASTIO_READ operação, confusas. Há vários outros exemplos de operações que a maioria classificaria como "ruído" e nomes de operação que não são autoexplicativos.

O modo de exibição padrão do Filemon versão 5.01 agora tem um mecanismo de filtragem para remover a atividade inútil na maioria dos cenários de solução de problemas e que apresenta nomes intuitivos para todas as operações de E/S. FASTIO_CHECK_IF_POSSIBLE é filtrado, FASTIO_READ falhas não são mostradas e FASTIO_READos êxitos são relatados como READ operações. Além disso, a exibição padrão omite a atividade do sistema de arquivos no processo do sistema, que é o processo do qual o Gerenciador de Memória e Cache executa atividades em segundo plano e todas as atividades de paginação do Gerenciador de Memória, incluindo a do arquivo de paginação do sistema. O item de menu opções|avançado satisfará os usuários, como os desenvolvedores de drivers de filtro de sistema de arquivos, que desejam a visão "bruta" da atividade do sistema de arquivos mostrada pelas versões anteriores do Filemon.

Vários usuários, incluindo funcionários da Microsoft, solicitaram que o Filemon mostrasse a conta na qual ocorrem erros de "acesso negado" para auxiliar na depuração de configurações de segurança em ambientes de Serviços de Terminal. Na versão de resposta 5.01 exibe essas informações, bem como o modo de acesso (leitura, gravação, exclusão etc.) que um processo deseja quando abre um arquivo e como um arquivo está sendo aberto, por exemplo, se ele está sendo substituído ou aberto somente se ele existir.

Muitas sessões de solução de problemas se concentram na identificação dos arquivos que um processo acessa ou tenta acessar, nesse caso, operações como leituras, gravações e fechamentos são apenas ruído. Em reconhecimento a esse fato, adicionei uma nova opção de filtragem "log opens" permite isolar apenas operações abertas.

Outra grande alteração está na maneira como o Filemon v5.01 lida com compartilhamentos mapeados pela rede. Em versões anteriores, cada mapeamento aparece como uma letra de unidade no menu Unidades. Agora, todos esses mapeamentos são englobados na seleção "Rede" do menu Volumes (que é o menu Unidades renomeados). Selecionar Rede tem Filemon monitorar todos os compartilhamentos de rede, bem como relatar a atividade de rede do tipo UNC do tipo que ocorre quando você acessa arquivos remotos usando a convenção de nomenclatura "\\computer\share\directory". Essa alteração possibilita que você exiba a atividade de arquivo de rede mesmo quando não tiver um compartilhamento de rede mapeado, conforme exigido pelas versões anteriores do Filemon. Há várias outras alterações secundárias no Filemon mais recente, incluindo uma estrutura de menu atualizada que espelha os menus mais utilizáveis que introduzi no Regmon há vários meses.

Baixar Filemon v5.01 em
http://www.sysinternals.com/ntw2k/source/filemon.shtml

SOBRE FILEMON E CÓDIGO-FONTE REGMON

Os desenvolvedores de software, hardware e produtos de rede dão suporte ao Sysinternals comprando licenças para redistribuir nosso código. No entanto, durante o último ano, encontramos uma série de softwares, de troianos a produtos comerciais de algumas corporações multibilionárias, contendo código-fonte Sysinternals sem licença. Em um esforço para manter a Sysinternals crescendo e nossos produtos legalmente licenciados, descontinuamos a publicação do código-fonte para alguns de nossos produtos, incluindo as versões mais recentes do Filemon e Regmon. Continuaremos disponibilizando o código-fonte para licenças comerciais. Se você descobrir espelhos para o código-fonte do Sysinternals, informe-nos.

DEBUGVIEW V4.2

DebugView é um utilitário Sysinternals muito popular que os desenvolvedores de software usam para capturar a saída de depuração gerada por seu software. A versão v4.2 reflete uma série de aprimoramentos e recursos solicitados pelo usuário. Uma opção solicitada pela Microsoft permite capturar a saída de depuração de processos em execução na sessão de console de um ambiente de Serviços de Terminal quando você executa DebugView em uma sessão que não seja de console. A V4.2 dá suporte a opções de linha de comando expandidas que permitem especificar um arquivo de log para carregar, profundidade do histórico e outro comportamento de inicialização. Vários usuários solicitaram filtros cada vez mais longos, filtragem em IDs de processo e a capacidade de inserir comentários na saída, todos os quais são possíveis com a versão mais recente. A nova versão é arredondada com várias correções de bugs, melhor suporte para extrair saída de kernel-debug de arquivos de despejo de memória e melhores janelas de balão para texto que excede a largura de sua coluna de saída e até mesmo a tela.

Baixar DebugView v4.2 em
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

O problema de duplicação de SID (ID de segurança) é aquele que você encontrará se usar uma imagem do Windows de pré-instalação para implantar mais de um sistema. Cada computador que compartilha a imagem tem o mesmo SID interno do Windows, que é um identificador que o subsistema de segurança do Windows usa como base para identificadores de grupo local e conta. Devido aos problemas de segurança, o compartilhamento pode fazer com que a maioria dos administradores execute etapas para pós-aplicar um SID exclusivo a cada computador usando uma ferramenta de alteração de SID.

NewSID, o SID-changer do Sysinternals, é popular porque, ao contrário de outros alteradores que dependem do DOS ou exigem que um sistema esteja livre de software de complemento, o NewSID é um programa Win32 que você pode usar para atribuir um novo SID a computadores que têm aplicativos instalados. A versão 4.02 é uma atualização importante que tem uma nova interface do Assistente, adiciona suporte ao Windows XP e permite renomear um computador.

Um recurso solicitado por muitos administradores é a capacidade do NewSIDs de aplicar um SID que você especificar, algo que pode ser útil para migrar as configurações de uma instalação para um computador diferente ou para reinstalação. À medida que o NewSID é executado, ele faz com que o Registro cresça quando aplica configurações de segurança temporárias a partes do Registro para torná-las acessíveis. Esse bloating pode fazer com que o Registro exceda sua cota de tamanho para que uma nova função v4.02 compacte o Registro ao seu tamanho mínimo como sua última etapa de operação.

Baixar NewSID v4.02 em
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Desligamento é uma ferramenta que a Microsoft inclui há muito tempo no Kit de Recursos do Windows e que está incluída nas instalações do Windows XP. Antes do PsShutdown v2.01, um membro do kit de ferramentas de administração de linha de comando do Sysinternals PsTools era simplesmente um desligamento de clone, mas esta versão mais recente expande seus recursos muito além dos do Shutdown. Por exemplo, você poderá desligar e desligar se um sistema der suporte ao gerenciamento de energia, bloquear a área de trabalho e fazer logoff do usuário interativo, tudo no computador local ou remoto, sem instalar manualmente nenhum software cliente.

Baixar PsShutdown v2.01 em
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Baixar todo o pacote PsTools em
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Todos nós ficamos irritados com a instalação de applets indesejados que são executados quando fazemos logon e ficamos frustrados em nossa busca pelo comando de inicialização. Não é à toa que o Windows tem cerca de 2 dúzias de mecanismos para essa ativação. O utilitário MsConfig incluído no Windows Me e no XP às vezes pode ajudar, mas ele perde cerca de metade dos locais de inicialização possíveis.

Autoruns, uma ferramenta Sysinternals escrita por Bryce Cogswell e eu, mostra a você toda a imagem. Sua exibição mostra uma lista de todos os possíveis locais de registro e arquivo em que um aplicativo pode se habilitar para ser executado na inicialização ou logon do sistema. A versão mais recente exibe informações de ícone e versão para cada imagem configurada pela inicialização para facilitar a identificação e adiciona aprimoramentos de interface do usuário, como um menu de contexto. Além disso, a nova versão identifica mais locais de inicialização, incluindo scripts de logon e logoff, tarefas do agendador de tarefas executadas após o logon e Explorer pontos de inicialização de complemento.

Baixar Autoruns v2.01 em
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Os administradores de sistemas geralmente ignoram uma parte crítica da segurança de rede local: pastas compartilhadas. Os usuários em um ambiente corporativo frequentemente criam compartilhamentos para pastas que contêm documentos para fornecer acesso fácil aos colegas de trabalho em seu grupo. Infelizmente, muitos usuários não conseguem bloquear seus compartilhamentos com configurações que impedem o acesso não autorizado a informações potencialmente confidenciais por outros funcionários.

ShareEnum é um utilitário Sysinternals escrito por Bryce Cogswell que ajuda você a identificar compartilhamentos desonestos e reforçar a segurança em itens válidos. Quando você inicia o ShareEnum, ele usa a enumeração NetBIOS para localizar computadores em sua rede e relata os compartilhamentos que eles exportam junto com detalhes sobre as configurações de segurança aplicadas aos compartilhamentos. Em segundos, você pode detectar compartilhamentos abertos e clicar duas vezes em um compartilhamento para abri-lo em Explorer para que você possa modificar suas configurações. Você também pode usar o recurso de exportação do ShareEnum para salvar verificações e comparar uma verificação atual com uma que você salvou anteriormente.

Baixar ShareEnum v1.3 em
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

O TCPView é um utilitário de tipo netstat gráfico que exibe uma lista dos pontos de extremidade TCP e UDP ativos de um sistema. Nas instalações do Windows NT, 2000, XP e Server 2003, ele mostra o processo que possui cada ponto de extremidade. A versão 2.31 exibe o ícone de um arquivo de imagem do processo para facilitar a identificação.

Baixar o TCPView v2.31 em
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

O Sysinternals Bluescreen of Death Screensaver tem sido um download favorito por vários anos e a versão 3.0 adiciona compatibilidade com o Windows XP. O protetor de tela exibe uma tela azul de aparência autêntica de morte, completa com formatação e detalhes aleatórios apropriados para o sistema operacional no qual sua execução (por exemplo, Windows NT, 2000 ou XP) e após uma pausa simula um ciclo de reinicialização e uma repetição subsequente de uma tela de falha diferente. É tão convincente que David Solomon me enganou com isso e eu o enganei. Use-o como seu próprio protetor de tela ou para enganar seus amigos e colegas de trabalho, mas certifique-se de que seu chefe tenha senso de humor antes de instalá-lo em um sistema de produção.

Baixar Bluescreen v3.0 em
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Eis a última edição das referências do Sysinternals nos artigos da Base de Dados de Conhecimento Microsoft (KB) lançados desde o último boletim informativo. Estou honrado em informar que isso leva a 41 o número total de referências de KB a Sysinternals.

  • ACC2000: Mensagem de erro: componente ActiveX não pode criar objeto http://support.microsoft.com/default.aspx?scid=KB;EN-US; Q319841

  • COMO solucionar problemas de ASP no IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB;EN-US; Q309051

  • OL2002: Como criar suplementos confiáveis do Outlook COM http://support.microsoft.com/default.aspx?scid=KB;en-us;327657

  • PRB: erro 80004005 "O Mecanismo de Banco de Dados do Microsoft Jet não pode abrir o arquivo '(Desconhecido)'" http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q306269

  • Falha de descarregamento de perfil de usuário ao iniciar, encerrar ou fazer logoff do NetMeeting http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q327612

  • XADM: Mensagem de Erro: Erro 123: o nome do arquivo, o nome do diretório ou a sintaxe do rótulo de volume estão incorretos http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q318746

INFORMAÇÕES INTERNAS

NEW XP/SERVER 2003 INTERNALS VIDEO

Nossa nova atualização de vídeo sobre as alterações internas do Windows XP/Server 2003 está disponível para ordenação de pré-lançamento! Como um adjunto ao nosso tutorial de vídeo existente, INSIDE Windows 2000 ou como um produto autônomo por si só, este novo vídeo fornece treinamento sobre as alterações de kernel no Windows XP e no novo produto da Microsoft Windows Server 2003, que será lançado em abril. Os tópicos abordados incluem desempenho, escalabilidade, suporte de 64 bits, sistemas de arquivos, confiabilidade e recuperação.

No mesmo estilo interativo que seu antecessor, a Atualização do Windows XP/Server 2003 coloca você na mesa de David Solomon e Mark Russinovich por 76 minutos de treinamento altamente focado e intensivo. Ele inclui perguntas de revisão, exercícios de laboratório e uma pasta de trabalho impressa e está disponível em vídeo dvd e Windows Media em CD-ROM.

Como esses vídeos foram desenvolvidos com acesso total à equipe de desenvolvimento e código-fonte do Windows, você sabe que está recebendo a história real. Como o último elogio, a Microsoft licenciou este vídeo para seu treinamento interno em todo o mundo.

PREÇOS ESPECIAIS DE PRÉ-LANÇAMENTO SE VOCÊ COMPRAR ANTES DE 15 DE MARÇO! Compre DENTRO do Windows 2000 por US$ 950 e obtenha a Atualização gratuita do Windows XP/Server 2003! Isso é quase 40% de desconto no valor combinado de varejo de US $ 1.390. Ou compre o vídeo autônomo do Windows XP/Server 2003 Update por apenas US$ 169 (valor comercial de US$ 195). Outras configurações de licença disponíveis no site. Para aproveitar essa oferta de tempo limitado, peça agora em http://www.solsem.com/vid_purchase.html

MARK E DAVID SOLOMON ENSINAM INTERNOS E SOLUÇÃO DE PROBLEMAS EM BELLEVUE, WA

Ouça eu e David Solomon apresentarmos nossa classe interna do Windows 2000/XP/.NET Server de 3 dias em Bellevue, WA (perto de Seattle) de 21 a 23 de abril. Com base em "Inside Windows 2000, 3rd Edition", ele aborda a inter-relação de arquitetura de kernel de mecanismos de componentes do sistema chave, como threads do sistema, expedição de chamadas do sistema, tratamento de interrupção, desligamento de inicialização. Aprenda técnicas avançadas de solução de problemas usando as ferramentas do Sysinternals e como usar o Windbg para análise básica de despejo de memória. Os internos dos principais subsistemas abordados incluem threads de processos, agendamento de threads, gerenciamento de memória, segurança, sistema de E/S e o gerenciador de cache. Ao entender o funcionamento interno do sistema operacional, você pode aproveitar a plataforma de forma mais eficaz e eficaz para depurar e solucionar problemas.

Para se registrar ou para obter mais informações, consulte http://www.sysinternals.com/seminar.shtml

CRITÉRIOS COMUNS DO WINDOWS 2000 SP3 CERTIFICADOS

Muitos de vocês provavelmente estão familiarizados com os termos "Orange Book" e C2, ambos relacionados a um padrão de avaliação de segurança desatualizado usado ao longo dos anos 1980 e 1990 pelo governo dos EUA para classificar os recursos de segurança do software, incluindo sistemas operacionais. Desde 1999, as classificações do Livro Laranja, que faziam parte do TCSEC (Critérios de Avaliação do Sistema de Computador Confiável) do Departamento de Defesa, foram subsumidas pelo sistema mais recente de Critérios Comuns (CC). O CC foi acordado por várias nações como um padrão internacional de classificações de segurança que é mais rico do que a TSCEC e as classificações obsoletas de Segurança da Tecnologia da Informação (ITSEC) da Inglaterra.

Quando um fornecedor tem seu software certificado em relação ao padrão CC, ele especifica um "perfil de proteção", que é um conjunto de recursos de segurança, e a avaliação relata um nível de garantia, conhecido como EAL (Nível de Garantia de Avaliação), de que o software atende aos requisitos do perfil de proteção. Há 7 EALs com níveis de garantia mais altos indicando maior confiança na confiabilidade dos recursos de segurança do software avaliado.

A Microsoft enviou o Windows 2000 para classificação CC em relação aos Perfis de Proteção de Acesso Controlado, que é aproximadamente o equivalente cc da classificação TCSEC C2, há vários anos e em outubro de 2002 sua avaliação foi concluída. A Science Applications International Corporation (SAIC), empresa independente que realizou a avaliação, encontrou o Windows 2000 com o Service Pack 3 para atender ao Perfil de Proteção de Acesso de Controle com um Nível de Garantia de Avaliação (EAL) de 4 mais Correção de Falhas. Uma EAL de 4 é considerada o nível mais alto alcançável pelo software de uso geral, e Correção de Falhas refere-se ao mecanismo de Windows Update para a aplicação oportuna de correções de segurança. Essa classificação é o nível mais alto alcançado até agora no CC por um sistema operacional.

VISUAL STUDIO: COLOCAR UM RELÓGIO EM LASTERROR

Se você desenvolver aplicativos que dependem da API do Win32, quase certamente escreveu um código que executa uma função Win32, mas por qualquer motivo não relata erros específicos. Nesse caso, você achará essa dica útil. Ao adicionar a expressão @ERR,hr à janela watch, você verá a representação numérica e textual do valor armazenado como a variável do LastError thread atual, que é o valor retornado pela GetLastError() função Win32.

O VALOR DO REGISTRO LAMEBUTTONTEXT EXPLICADO

Se você examinou os rastreamentos regmon em um sistema Windows 2000 ou XP de uma inicialização de aplicativo do Windows, provavelmente já viu referências ao valor do Registro HKCU\Control Panel\Desktop\LameButtonText, geralmente com um erro NOTFOUND. Alguém na Microsoft obviamente tem senso de humor, mas para que esse valor? Acontece que ele armazena o texto que você vê no Windows beta e libera as versões do candidato nas barras de título da janela que orienta você a clicar em um link para relatar comentários. Seria legal se você pudesse habilitá-lo em versões não pré-lançamento do Windows para colocar texto personalizado, mas sua funcionalidade infelizmente está desabilitada em versões de produção.

HISTÓRICO DE DESENVOLVIMENTO DO WINDOWS

Paul Thurrott tem uma bela série de artigos em três partes que está na história do processo de desenvolvimento do Windows NT. Confira em http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

UMA INTRODUÇÃO RÁPIDA À ANÁLISE DE DESPEJO DE MEMÓRIA

Quando um sistema falha imediatamente após a instalação de um novo hardware ou software, o diagnóstico da causa é óbvio. Às vezes, no entanto, as falhas do sistema ocorrem ocasionalmente e não há motivo aparente. Nesses casos, a única maneira de determinar a causa da falha é analisar um despejo de memória. Neste tutorial, descreverei como funciona a OCA (Análise de Falhas Online) da Microsoft e como ela pode dar a resposta a um quebra-cabeça de falha e, em seguida, informarei como configurar seu próprio ambiente de análise de falhas para que você possa dar uma olhada em falhas que o OCA não analisará ou não conseguiu analisar com êxito.

A Microsoft introduziu o OCA com o lançamento do Windows XP como um serviço de análise automatizado baseado em um repositório centralizado de informações relacionadas a falhas. Depois que um sistema XP é reinicializado de uma falha, ele solicita que você envie informações de falha para o site do OCA (http://oca.microsoft.com/en/Welcome.asp). Se você concordar, o XP carregará um arquivo XML que descreve a configuração básica do sistema, juntamente com um arquivo de falha de minidespejo de 64 KB. Um minidespejo contém uma pequena quantidade de dados imediatamente relevantes para uma falha, como o código de falha, a pilha do thread que estava em execução no momento da falha, a lista de drivers carregados no sistema e as estruturas de dados que gerenciam o processo em execução quando a falha aconteceu.

Depois que a OCA recebe as informações, ela continua a analisá-la e armazena o resumo da análise em um banco de dados. Se você seguir o prompt após o upload e visitar o site do OCA, você terá a oportunidade de acompanhar a análise. Isso exige que você entre com uma conta do Passport. Em seguida, insira um nome para a falha e um texto que descreva a natureza da falha. Se o mecanismo OCA correlacionar a falha com outras pessoas no banco de dados para a qual a Microsoft identificou uma causa, o site notificará você por email e quando você revisitar o site e pesquisar a falha enviada, a resolução informará onde obter um driver ou atualização do sistema operacional. Infelizmente, embora o suporte ao OCA seja integrado ao XP e aceite arquivos de despejo de memória do Windows 2000, ele não dá suporte ao NT 4 e não pode identificar a causa da maioria das falhas (pelo menos na minha experiência).

Para executar a análise de falhas por conta própria, você precisará das ferramentas apropriadas, que a Microsoft fornece na forma do pacote Ferramentas de Depuração para Windows do qual você pode baixar http://www.microsoft.com/ddk/Debugging/. O pacote inclui, entre outras coisas, a ferramenta de análise Windbg. Depois de baixar e instalar as ferramentas, execute Windbg e abra o Arquivo |Caixa de diálogo Caminho do Arquivo de Símbolo. Lá você informa ao Windbg onde encontrar arquivos de símbolo para a versão do sistema operacional do qual uma falha que você está analisando foi gerada. Você pode inserir um caminho para um diretório em que instalou símbolos, no entanto, isso exige que você obtenha arquivos de símbolo para o sistema operacional exato, service pack e hot fixes instalados no sistema de falha. Acompanhar manualmente os arquivos de símbolo é entediante e, se você quiser analisar falhas de sistemas diferentes, precisará se preocupar com diferentes conjuntos de arquivos de símbolo para cada instalação diferente.

Você pode evitar o incômodo do arquivo de símbolo apontando o Windbg para o servidor de símbolos da Microsoft. Quando você o configura para usar o servidor de símbolos, o Windbg baixa automaticamente arquivos de símbolo sob demanda com base no despejo de memória que você abre. O servidor de símbolos armazena símbolos para NT 4 até betas do Server 2003 e candidatos à versão, incluindo service packs e hot fixes. A sintaxe para direcionar Windbg para o servidor de símbolos é srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Substitua c:\symbols pelo diretório em que você deseja armazenar arquivos de símbolo. Para obter mais informações sobre símbolos, consulte http://www.microsoft.com/ddk/debugging/symbols.asp

Há mais uma etapa que você precisa executar antes de estar pronto para analisar despejos de memória: configurar seus sistemas para gerá-los. Faça isso abrindo o miniaplicativo Sistema no painel de controle e, no Win2k e superior, clicando no botão Inicialização/Desligamento da página Avançado. No NT 4, vá para a guia Inicialização/Desligamento do miniaplicativo. A única opção de despejo de memória em sistemas NT 4 é um despejo de memória completo, em que todo o conteúdo da memória física no momento de uma falha é salvo no arquivo especificado. No Win2k e superior, há três opções: mini, kernel e completo. Win2K e XP Professional e Home padrão para mini; Os sistemas de servidor padrão são completos. Para computadores cliente/estação de trabalho, altere a configuração de mini para despejo de kernel, que salva apenas partes da memória física pertencentes ao sistema operacional (em vez de aplicativos), uma vez que isso minimiza o tamanho do arquivo de despejo de memória e ainda fornece informações completas sobre estruturas de dados de kernel que Windbg precisa para analisar efetivamente uma falha. Para sistemas de servidor, os despejos completos são bons, mas os despejos de kernel são uma opção segura (e possivelmente sua única opção se você tiver um sistema de memória muito grande).

Agora você está pronto para analisar uma falha. Quando ocorrer, basta carregar o arquivo de despejo resultante no Windbg selecionando o Arquivo |Abra a opção de menu Despejo de Memória. À medida que o despejo carrega Windbg começa a processá-lo e você verá mensagens sobre a versão do sistema operacional e o carregamento de símbolos. Em seguida, você verá uma mensagem com o texto "Análise de Verificação de Bugs". A saída após a mensagem relata o código de falha e os parâmetros do código de falha, bem como um "provavelmente causado por".

Em alguns casos, a análise básica que a Windbg executa aqui é suficiente para identificar o driver com falha ou o componente de kernel. No entanto, recomendo sempre inserir o seguinte comando: !analyze -v. Esse comando resulta na mesma análise, mas com mais informações. Por exemplo, o texto explicará o significado do código de falha e informará o que os parâmetros opcionais representam, às vezes com conselhos sobre o que tentar em seguida. Você também verá um rastreamento de pilha, que é um registro de execução de função que leva ao código no qual a falha ocorreu. Se um driver passar dados com falha para o kernel ou um driver identificado pela análise, você poderá ver seu nome no rastreamento e poderá identificá-los como uma possível causa raiz.

Se você quiser se aprofundar no estado do sistema no momento da falha, há vários comandos Windbg que permitem ver a lista de processos em execução, drivers carregados, uso de memória e muito mais. O arquivo de ajuda windbg também contém uma referência de verificação de bugs que recomendo que você acompanhe para obter mais informações e diretrizes e, se você ainda acabar perplexo, recomendo que você execute uma pesquisa na KB (Base de Dados de Conhecimento) da Microsoft para o código de falha. A Microsoft cria artigos de KB para falhas comuns e o conduz a sites de fornecedores ou correções frequentes que resolvem problemas específicos.

Se você quiser me ver apresentar essas informações ao vivo, com exemplos, então marcar-me em qualquer uma das seguintes conferências:

  • O seminário interno e de solução de problemas que David e eu estamos entregando em abril em Bellevue, WA
  • Conexões do Windows e do .NET Magazine em Scottsdale, AZ em maio: http://www.winconnections.com/win
  • TechEd EUA (Dallas) ou TechEd Europe (em Barcelona) neste verão

Obrigado por ler o Boletim Informativo do Sysinternals.

Publicado quarta-feira, 19 de fevereiro de 2003 16:47 PM por ottoh

[Arquivo de Boletins Informativos ^] [< Volume 4, Número 3] [Volume 5, Número 2 >]