Partilhar via

  • Artigo

[Arquivo de boletins informativos ^] <[ Volume 4, Número 3] [Volume 5, Número 2 >]

O boletim informativo Systems Internals Volume 5, Número 1

http://www.sysinternals.com
Direitos de autor (C) 2003 Mark Russinovich

19 de fevereiro de 2003 - Nesta edição:

  1. EDITORIAL

  2. O QUE HÁ DE NOVO NA SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Tela azul v3.0
    • Sysinternals na empresa Microsoft

  3. INFORMAÇÃO INTERNA

    • Novo XP/Server 2003 Internals Video
    • Mark e David Solomon ensinam internos e solução de problemas em Seattle
    • Certificação de critérios comuns do Windows 2000 SP3
    • Visual Studio: Coloque um relógio no LastError
    • O valor do Registro LameButtonText explicado
    • Histórico de desenvolvimento do Windows
    • Introdução à análise de despejo de memória

A Newsletter da Sysinternals é patrocinada pela Winternals Software, na Web em http://www.winternals.com. A Winternals Software é a principal desenvolvedora e fornecedora de ferramentas de sistemas avançados para Windows NT/2K/XP. Os produtos Winternals Software incluem ERD Commander 2002, NTFSDOS Professional Edition (um driver NTFS de leitura/gravação para DOS) e Remote Recover.

A Winternals tem o orgulho de anunciar o Defrag Manager versão 2.10, o desfragmentador empresarial mais rápido e completo disponível. Agora você pode gerenciar agendas de desfragmentação em toda a sua empresa Windows a partir de um simples snapin MMC - sem precisar instalar nenhum software cliente em seus sistemas NT, Windows 2000 ou Windows XP. Visite http://www.winternals.com/es para obter mais informações ou para solicitar uma versão de avaliação gratuita de 30 dias.

Olá a todos,

Bem-vindo à newsletter da Sysinternals. A newsletter conta atualmente com 36.000 assinantes.

Tenho o prazer de informar que David Solomon é o autor convidado do editorial deste mês, onde descreve algumas de suas experiências reais de solução de problemas com vários utilitários Sysinternals.

Por favor, passe a newsletter para amigos que você acha que podem estar interessados em seu conteúdo.

Obrigado!

-Marcar

EDITORIAL - por David Solomon

Tenho um novo lema: "Em caso de dúvida, execute Filemon e Regmon (e Process Explorer)".

Antes de explicar, deixe-me primeiro agradecer a Mark por me convidar para escrever este editorial convidado (claro, já que este é um relatório brilhante sobre como suas ferramentas são úteis, não é como se ele estivesse me fazendo um grande favor ou qualquer coisa!).

Como muitos de vocês sabem, Mark e eu trabalhamos juntos para ajudar a educar as pessoas sobre os aspetos internos do Windows. Nosso projeto mais recente foi uma atualização para o tutorial em vídeo interno do Windows 2000 que criamos no ano passado para cobrir as alterações do kernel no Windows XP e no Windows Server 2003, e nossa próxima aula pública de internos do Windows é de 21 a 23 de abril em Bellevue, Washington - veja detalhes sobre ambos nas seções relevantes deste boletim informativo. E, como muitos nos perguntaram, estamos no processo do nosso livro Inside Windows 2000 for XP & Server 2003 (data de lançamento provisória é final do verão).

E agora, por que estou tão entusiasmado com as ferramentas Sysinternals? Porque no último ano, mais ou menos, eles me ajudaram a solucionar e resolver uma ampla variedade de problemas de aplicativos e sistemas que, de outra forma, seriam insolúveis. Na verdade, não consigo começar a descrever o número de problemas totalmente diferentes e não relacionados que consegui solucionar com essas ferramentas. Mesmo nos casos em que eu achava que eles não iriam ajudar, eles ajudaram. Daí o meu novo lema, "Na dúvida, corra Filemon e Regmon".

Existem duas técnicas básicas que encontrei para aplicar essas ferramentas:

  1. Observe a última coisa no rastreamento Filemon/Regmon que o aplicativo fez antes de falhar. Isso pode apontar para o problema.
  2. Compare um rastreamento Filemon/Regmon do aplicativo com falha com um rastreamento de um sistema em funcionamento.

Na primeira abordagem, execute Filemon e Regmon e, em seguida, execute o aplicativo. No ponto em que a falha ocorrer, volte para Filemon e Regmon e pare o registro (pressione CONTROL+E). Em seguida, vá até o final do log e encontre as últimas operações realizadas pelo aplicativo antes que ele falhasse (travou, travou ou o que for). Começando com a última linha, trabalhe para trás examinando os arquivos e/ou chaves de registro referenciados - muitas vezes isso ajudará a identificar o problema.

Use a segunda abordagem quando o aplicativo falhar em um sistema, mas funcionar em outro. Capture um rastreamento Filemon e Regmon do aplicativo no sistema em funcionamento e com falha e salve a saída em um arquivo de log. Em seguida, abra os arquivos de log bons e ruins com o Excel (pegue os padrões no assistente de importação) e exclua as 3 primeiras colunas (caso contrário, a comparação mostrará cada linha como diferente, já que as 3 primeiras colunas contêm informações que são diferentes de executar para executar, como o tempo e o id do processo). Finalmente, compare os arquivos de log resultantes (por exemplo, com WinDiff, que no Windows XP está incluído nas ferramentas de suporte gratuitas que você pode instalar fora do CD do XP, ou para Windows NT4 e Windows 2000 você pode encontrá-lo no Resource Kit).

Agora, alguns exemplos da vida real.

Em uma estação de trabalho Windows 2000 com o Microsoft Office 97 instalado, o Word obteria um Dr. Watson logo após o início. Você poderia realmente digitar alguns caracteres antes do Dr. Watson ocorrer, mas se você digitou qualquer coisa ou não, dentro de alguns segundos após o início, o Word falharia. Claro, o usuário tentou desinstalar e reinstalar o Office, mas o problema permaneceu. Então, eu corri Filemon e Regmon e olhei para a última coisa feita pelo Word antes de morrer. O rastreamento Filemon mostrou a última coisa que o Word fez foi abrir uma DLL de impressora HP. Acontece que a estação de trabalho não tinha impressora, mas aparentemente o fez em um momento. Então, eu apaguei a impressora HP do sistema e o problema desapareceu!

Aparentemente, a enumeração do Word nas impressoras na inicialização fez com que essa DLL fosse carregada, o que, por sua vez, fez com que o processo morresse (por que isso aconteceu, não sei - talvez o usuário tivesse instalado uma versão falsa; mas como o sistema não tinha mais uma impressora, isso realmente não importava).

Em outro exemplo, o Regmon salvou um usuário de fazer uma reinstalação completa de seu sistema de desktop Windows XP. O sintoma era que o Internet Explorer (IE) travaria na inicialização se o usuário não discar manualmente primeiro a conexão com a Internet. Esta conexão com a Internet foi definida como a conexão padrão para o sistema, portanto, iniciar o IE deve ter causado uma discagem automática para a Internet (porque o IE foi definido para exibir uma página inicial padrão na inicialização). Seguindo meu novo lema, corri Filemon e Regmon e olhei para trás a partir do ponto no log onde o IE estava pendurado. Filemon não mostrou nada incomum, mas o log do Regmon mostrou uma consulta a uma chave HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT. O usuário me disse que tinha o programa de discagem AT &T instalado em um momento, mas o desinstalou e criou manualmente a conexão dial-up. Como o nome da conexão dial-up não era "ATT", eu suspeitava que isso era lixo do registro remanescente da desinstalação que estava causando o engasgo do IE. Então, eu renomeei a chave e o problema foi embora!

Usar a técnica "compare the logs" ajudou a resolver por que o Access 2000 estava pendurado na estação de trabalho XP de um programador tentando importar um arquivo do Excel. A importação do mesmo ficheiro funcionou bem nas estações de trabalho de outros utilizadores, mas falhou nesta estação de trabalho. Assim, foi feita uma captura do Access no sistema em funcionamento e falhando. Depois de massagear adequadamente os arquivos de log, eles foram comparados com o Windiff. As primeiras diferenças foram devido aos nomes dos arquivos temporários serem diferentes e devido a alguns nomes de arquivos serem diferentes devido a diferenças de maiúsculas e minúsculas, mas é claro que estas não eram "diferenças relevantes" entre os dois sistemas.

A primeira diferença que não foi ok foi que uma DLL de acesso estava sendo carregada a partir do \Windows\System32 sistema com falha, mas da \Program Files\Microsoft Office\Office pasta no sistema de trabalho. Comparando as DLLs revelou que a versão em \Windows\System32 era de uma versão anterior do Access. Então, o usuário renomeou essa DLL para .bad e executou novamente o Access e o problema desapareceu!

Uma classe de problemas para os quais Filemon é incrivelmente útil é descobrir problemas de permissão de arquivo. Muitos aplicativos fazem um trabalho ruim de relatar erros de acesso negado. No entanto, a execução do Filemon revela claramente falhas desse tipo, já que a coluna de resultados mostra "ACESSO NEGADO" para falhas na abertura de arquivos devido a problemas de direitos (e a versão mais recente até mostra o nome de usuário que não conseguiu acessar o arquivo). Dois exemplos específicos em que tal foi o caso:

  1. Um usuário estava recebendo um estranho erro de macro ao iniciar o Word; Acontece que as permissões em um arquivo . O arquivo DOT referenciado por uma macro foi alterado para não permitir esse acesso do usuário. Filemon mostrou claramente o Word recebendo um erro de acesso negado no . Arquivo DOT. Uma vez que as permissões foram corrigidas, o problema desapareceu.
  2. Um aplicativo do Outlook apareceu uma caixa de mensagem que dizia Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]-outro exemplo de quantos aplicativos geram mensagens de erro inúteis em falhas de E/S aleatórias. Novamente, a execução do Filemon revelou um erro de acesso negado (desta vez para uma pasta que o Outlook precisava acessar). As permissões foram ajustadas na pasta e o problema desapareceu.

Estes são apenas alguns exemplos, tenho muitas outras histórias de sucesso em que Filemon e Regmon (e Process Explorer, que não discuti aqui) salvaram o dia. Não é de admirar que o Suporte ao Produto da Microsoft use essas ferramentas diariamente para ajudar a resolver problemas dos clientes (na última contagem, cerca de 40 artigos da Base de Dados de Conhecimento apontam para as ferramentas de Mark - consulte http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml para obter uma lista).

Então, na dúvida, execute Filemon e Regmon!

David Solomon David Solomon Seminários de Especialistas http://www.solsem.com

O QUE HÁ DE NOVO NA SYSINTERNALS

FILEMON V5.01

Filemon, uma das utilidades que David destaca em seu editorial, passou por sua primeira grande revisão em vários anos. A nova versão traz um novo nível de usabilidade para uma ferramenta que já tinha uma interface de usuário acessível. A melhoria mais significativa é a mudança na forma como a atividade do sistema de arquivos é apresentada na configuração padrão do Filemon quando executado no Windows NT, 2000, XP ou Server 2003, algo em que eu estava pensando há um tempo e que finalmente implementei com base no feedback real do usuário de David.

As versões anteriores do Filemon exibem as operações do sistema de arquivos com os nomes textuais das solicitações de E/S internas que executam as operações. Embora tecnicamente preciso em sua apresentação, muitos usuários não estão familiarizados com o funcionamento interno do subsistema de E/S do Windows e acham as operações como FASTIO_CHECK_IF_POSSIBLE sem sentido e outras, como uma falha relatada de uma FASTIO_READ operação, confusas. Existem inúmeros outros exemplos de operações que a maioria classificaria como "ruído" e nomes de operações que não são autoexplicativos.

O modo de visualização padrão do Filemon versão 5.01 agora tem um mecanismo de filtragem para remover a atividade que é inútil na maioria dos cenários de solução de problemas e que apresenta nomes intuitivos para todas as operações de E/S. FASTIO_CHECK_IF_POSSIBLE é filtrado, FASTIO_READ as falhas não são mostradas e FASTIO_READos que são bem-sucedidos são relatados como READ operações. Além disso, a exibição padrão omite a atividade do sistema de arquivos no processo do sistema, que é o processo a partir do qual o Gerenciador de memória e cache executa a atividade em segundo plano e toda a atividade de paginação do Gerenciador de memória, incluindo a do arquivo de paginação do sistema. As Opções|O item de menu avançado satisfará os usuários, como os desenvolvedores de drivers de filtro do sistema de arquivos, que desejam a visualização "bruta" da atividade do sistema de arquivos mostrada pelas versões anteriores do Filemon.

Vários usuários, incluindo funcionários da Microsoft, solicitaram que o Filemon mostrasse a conta na qual ocorrem erros de "acesso negado" para ajudar na depuração de configurações de segurança em ambientes de Serviços de Terminal. Na versão de resposta 5.01 exibe essas informações, bem como o modo de acesso (leitura, gravação, exclusão, etc) que um processo deseja quando abre um arquivo e como um arquivo está sendo aberto, por exemplo, se ele está sendo substituído ou aberto apenas se ele existir.

Muitas sessões de solução de problemas se concentram em identificar os arquivos que um processo acessa ou tenta acessar, caso em que operações como leitura, gravação e fechamento são apenas ruído. Em reconhecimento a este fato, adicionei uma nova opção de filtragem "log opens" que permite isolar apenas operações abertas.

Outra grande mudança está na maneira como o Filemon v5.01 lida com compartilhamentos mapeados em rede. Nas versões anteriores, cada mapeamento aparece como uma letra de unidade no menu Unidades. Agora, todos esses mapeamentos são incluídos na seleção "Rede" do menu Volumes (que é o menu Unidades renomeado). A seleção de Rede faz com que o Filemon monitore todos os compartilhamentos de rede, bem como relate a atividade de rede do tipo UNC do tipo que ocorre quando você acessa arquivos remotos usando a convenção de nomenclatura "\\computer\share\directory". Essa alteração possibilita que você visualize a atividade de arquivos de rede mesmo quando você não tem um compartilhamento de rede mapeado, como era exigido pelas versões anteriores do Filemon. Há inúmeras outras pequenas mudanças no Filemon mais recente, incluindo uma estrutura de menus atualizada que espelha os menus mais utilizáveis que introduzi no Regmon há vários meses.

Download Filemon v5.01 em
http://www.sysinternals.com/ntw2k/source/filemon.shtml

SOBRE O CÓDIGO-FONTE FILEMON E REGMON

Os desenvolvedores de software, hardware e produtos de rede oferecem suporte à Sysinternals comprando licenças para redistribuir nosso código. No entanto, durante o ano passado, encontramos uma variedade de softwares, de cavalos de Troia a produtos comerciais de algumas corporações multibilionárias, contendo código-fonte Sysinternals não licenciado. Em um esforço para manter a Sysinternals crescendo e nossos produtos legalmente licenciados, interrompemos a publicação do código-fonte de alguns de nossos produtos, incluindo as versões mais recentes do Filemon e Regmon. Continuaremos a disponibilizar o código-fonte aos licenciados comerciais. Se você descobrir espelhos para o código-fonte do Sysinternals, entre em contato conosco.

DEBUGVIEW V4.2

DebugView é um utilitário Sysinternals muito popular que os desenvolvedores de software usam para capturar a saída de depuração gerada pelo seu software. A versão v4.2 reflete uma série de aprimoramentos e recursos solicitados pelo usuário. Uma opção solicitada pela Microsoft permite capturar a saída de depuração de processos executados na sessão de console de um ambiente de Serviços de Terminal quando você executa DebugView em uma sessão que não seja de console. A V4.2 oferece suporte a opções de linha de comando expandidas que permitem especificar um arquivo de log a ser carregado, profundidade do histórico e outros comportamentos de inicialização. Vários usuários solicitaram filtros cada vez mais longos, filtragem em IDs de processo e a capacidade de inserir comentários na saída, o que é possível com a versão mais recente. A nova versão é completada com várias correções de bugs, melhor suporte para extrair a saída kernel-debug de arquivos de despejo de memória e melhores janelas de balão para texto que excede a largura de sua coluna de saída e até mesmo a tela.

Download DebugView v4.2 em
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

O problema de duplicação de SID (ID de segurança) é um problema que você encontrará se usar uma imagem pré-instalada do Windows para implantar mais de um sistema. Cada computador que compartilha a imagem tem o mesmo SID interno do Windows, que é um identificador que o subsistema de segurança do Windows usa como base para identificadores de conta e grupo local. Devido aos problemas de segurança, o compartilhamento pode fazer com que a maioria dos administradores tome medidas para pós-aplicar um SID exclusivo a cada computador usando uma ferramenta de alteração de SID.

NewSID, SID-changer da Sysinternals, é popular porque, ao contrário de outros changers que dependem do DOS ou exigem que um sistema esteja livre de software complementar, NewSID é um programa Win32 que você pode usar para atribuir um novo SID a computadores que tenham aplicativos instalados. A versão 4.02 é uma grande atualização que tem uma nova interface do assistente, adiciona suporte para o Windows XP e permite renomear um computador.

Um recurso solicitado por muitos administradores é a capacidade dos NewSIDs de aplicar um SID que você especificar, algo que pode ser útil para migrar as configurações de uma instalação para um computador diferente ou para reinstalar. À medida que o NewSID é executado, ele faz com que o Registro cresça quando aplica configurações de segurança temporárias a partes do Registro para torná-las acessíveis. Esse inchaço pode fazer com que o Registro exceda sua cota de tamanho, portanto, uma nova função v4.02 compacta o Registro para seu tamanho mínimo como sua última etapa de operação.

Download NewSID v4.02 em
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

O desligamento é uma ferramenta que a Microsoft há muito tempo inclui no Windows Resource Kit e que está incluída nas instalações do Windows XP. Antes da v2.01 PsShutdown, um membro do kit de ferramentas de administração de linha de comando Sysinternals PsTools, era simplesmente um clone Shutdown, mas esta última versão expande seus recursos muito além dos do Shutdown. Por exemplo, você pode desligar e desligar se um sistema suportar gerenciamento de energia, bloquear a área de trabalho e fazer logoff do usuário interativo, tudo na máquina local ou remota, sem instalar manualmente nenhum software cliente.

Download PsShutdown v2.01 em
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Faça o download de todo o pacote PsTools em
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Todos nós ficamos irritados com a instalação de applets indesejados que são executados quando fazemos login e ficamos frustrados em nossa busca por seu comando de inicialização. Não é de admirar quando o Windows tem cerca de 2 dúzias de mecanismos para tal ativação. O utilitário MsConfig incluído no Windows Me e XP às vezes pode ajudar, mas perde cerca de metade dos possíveis locais de inicialização.

Autoruns, uma ferramenta Sysinternals escrita por Bryce Cogswell e eu, mostra a imagem completa. Sua exibição mostra uma lista de todos os possíveis locais de registro e arquivos onde um aplicativo pode se habilitar a ser executado na inicialização do sistema ou logon. A versão mais recente exibe informações de ícone e versão para cada imagem configurada na inicialização para facilitar a identificação e adiciona aprimoramentos na interface do usuário, como um menu de contexto. Além disso, a nova versão identifica mais locais de inicialização, incluindo scripts de logon e logoff, tarefas do agendador de tarefas que são executadas no logon e pontos de inicialização do complemento Explorer.

Download Autoruns v2.01 em
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Os administradores de sistemas muitas vezes ignoram uma parte crítica da segurança da rede local: pastas compartilhadas. Os usuários em um ambiente corporativo frequentemente criam compartilhamentos em pastas contendo documentos para fornecer acesso fácil aos colegas de trabalho em seu grupo. Infelizmente, muitos usuários não conseguem bloquear seus compartilhamentos com configurações que impedem o acesso não autorizado a informações potencialmente confidenciais por outros funcionários.

ShareEnum é um utilitário Sysinternals escrito por Bryce Cogswell que ajuda você a identificar compartilhamentos fraudulentos e reforçar a segurança em ações válidas. Quando você inicia o ShareEnum, ele usa a enumeração NetBIOS para localizar computadores em sua rede e relata os compartilhamentos que eles exportam, juntamente com detalhes sobre as configurações de segurança aplicadas aos compartilhamentos. Em segundos, você pode identificar compartilhamentos abertos e clicar duas vezes em um compartilhamento para abri-lo no Explorer para que você possa modificar suas configurações. Você também pode usar o recurso de exportação do ShareEnum para salvar varreduras e comparar uma verificação atual com uma que você salvou anteriormente.

Download ShareEnum v1.3 em
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView é um utilitário gráfico do tipo netstat que exibe uma lista de pontos de extremidade TCP e UDP ativos de um sistema. Em instalações do Windows NT, 2000, XP e Server 2003, ele mostra o processo que possui cada ponto de extremidade. A versão 2.31 exibe o ícone do arquivo de imagem de um processo para facilitar a identificação.

Download TCPView v2.31 em
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

TELA AZUL V3.0

O Sysinternals Bluescreen of Death Screensaver tem sido um download favorito por vários anos e a versão 3.0 adiciona compatibilidade com o Windows XP. O protetor de tela exibe uma tela azul de aparência autêntica da morte, completa com formatação e detalhes aleatórios apropriados para o sistema operacional no qual é executado (por exemplo, Windows NT, 2000 ou XP), e após uma pausa simula um ciclo de reinicialização e subsequente repetição de uma tela de falha diferente. É tão convincente que David Solomon me enganou com isso e eu o enganei com isso. Use-o como seu próprio protetor de tela ou para enganar seus amigos e colegas de trabalho, mas certifique-se de que seu chefe tenha senso de humor antes de instalá-lo em um sistema de produção.

Download Bluescreen v3.0 em
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS NA WWW.MICROSOFT.COM

Aqui está a última parte das referências Sysinternals em artigos da Base de Dados de Conhecimento Microsoft (KB) lançados desde o último boletim informativo. Tenho a honra de informar que isso eleva para 41 o número total de referências KB a Sysinternals.

  • ACC2000: Mensagem de erro: Componente ActiveX não é possível criar objeto http://support.microsoft.com/default.aspx?scid=KB; PT-EUA; Q319841&

  • COMO: Solucionar problemas de ASP no IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB; PT-EUA; Q309051&

  • OL2002: Como criar suplementos http://support.microsoft.com/default.aspx?scid=KBCOM confiáveis do Outlook ; en-us; 327657&

  • PROBLEMA: Erro 80004005 "O mecanismo de banco de dados Microsoft Jet não pode abrir o arquivo '(desconhecido)'" http://support.microsoft.com/default.aspx?scid=KB; PT-EUA; Q306269&

  • Falha de descarregamento de perfil de usuário ao iniciar, sair ou fazer logoff do NetMeeting http://support.microsoft.com/default.aspx?scid=KB; PT-EUA; Q327612&

  • XADM: Mensagem de erro: Erro 123: O nome do arquivo, nome do diretório ou sintaxe do rótulo do volume está incorreta http://support.microsoft.com/default.aspx?scid=KB; PT-EUA; Q318746&

INFORMAÇÃO INTERNA

NOVO XP/SERVER 2003 INTERNALS VIDEO

Nossa nova atualização de vídeo sobre as alterações internas do Windows XP/Server 2003 está disponível para pedidos de pré-lançamento! Como complemento ao nosso tutorial em vídeo existente, INSIDE Windows 2000, ou como um produto independente por direito próprio, este novo vídeo fornece treinamento sobre as mudanças de kernel no Windows XP e no novo produto da Microsoft, Windows Server 2003, que será lançado em abril. Os tópicos abordados incluem desempenho, escalabilidade, suporte a 64 bits, sistemas de arquivos, confiabilidade e recuperação.

No mesmo estilo interativo de seu antecessor, o Windows XP/Server 2003 Update coloca você do outro lado da mesa de David Solomon e Mark Russinovich para 76 minutos de treinamento intensivo e altamente focado. Inclui perguntas de revisão, exercícios de laboratório e um livro impresso, e está disponível em vídeo DVD e Windows Media em CD-ROM.

Como esses vídeos foram desenvolvidos com acesso total ao código-fonte do Windows e à equipe de desenvolvimento, você sabe que está recebendo a história real. Como complemento final, a Microsoft licenciou este vídeo para seu treinamento interno em todo o mundo.

PREÇOS ESPECIAIS DE PRÉ-LANÇAMENTO SE VOCÊ COMPRAR ANTES DE 15 DE MARÇO! Compre INSIDE Windows 2000 por $950 e obtenha a atualização do Windows XP/Server 2003 GRÁTIS! Isso representa quase 40% de desconto no valor de varejo combinado de US$ 1.390. Ou compre o vídeo autônomo do Windows XP/Server 2003 Update por apenas US$ 169 (valor de varejo de US$ 195). Outras configurações de licença disponíveis no site. Para aproveitar esta oferta por tempo limitado, encomende agora em http://www.solsem.com/vid_purchase.html

MARK E DAVID SOLOMON ENSINAM INTERNOS E SOLUÇÃO DE PROBLEMAS EM BELLEVUE, WA

Ouça-me e David Solomon apresentar nossa classe interna de 3 dias do Windows 2000/XP/.NET Server em Bellevue, WA (perto de Seattle) de 21 a 23 de abril. Baseado em "Inside Windows 2000, 3rd Edition", ele abrange a arquitetura do kernel e inter-relação de componentes-chave do sistema e mecanismos como threads do sistema, despacho de chamadas do sistema, manipulação de interrupções, inicialização & desligamento. Aprenda técnicas avançadas de solução de problemas usando as ferramentas Sysinternals e como usar o Windbg para análise básica de despejo de falhas. Os internos dos principais subsistemas cobertos incluem processos e threads, agendamento de threads, gerenciamento de memória, segurança, o sistema de E/S e o gerenciador de cache. Ao entender o funcionamento interno do sistema operacional, você pode aproveitar a plataforma de forma mais eficaz e eficaz depurar e solucionar problemas.

Para se inscrever ou para obter mais informações, consulte http://www.sysinternals.com/seminar.shtml

CERTIFICAÇÃO DE CRITÉRIOS COMUNS DO WINDOWS 2000 SP3

Muitos de vocês provavelmente estão familiarizados com os termos "Orange Book" e C2, ambos relacionados a um padrão de avaliação de segurança desatualizado usado ao longo das décadas de 1980 e 90 pelo governo dos EUA para avaliar as capacidades de segurança do software, incluindo sistemas operacionais. Desde 1999, as classificações do Orange Book, que faziam parte do Trusted Computer System Evaluation Criteria (TCSEC) do Departamento de Defesa, foram subsumidas pelo novo sistema Common Criteria (CC). O CC foi acordado por várias nações como um padrão internacional de classificação de segurança que é mais rico do que o TSCEC e as obsoletas classificações de Segurança da Tecnologia da Informação (ITSEC) da Inglaterra.

Quando um fornecedor tem seu software certificado de acordo com o padrão CC, ele especifica um "perfil de proteção", que é um conjunto de recursos de segurança, e a avaliação relata um nível de garantia, conhecido como Nível de Garantia de Avaliação (EAL), de que o software atende aos requisitos do perfil de proteção. Existem 7 EALs com níveis de garantia mais elevados, indicando maior confiança na fiabilidade dos elementos de segurança do software avaliado.

A Microsoft submeteu o Windows 2000 para classificação CC em relação aos Perfis de Proteção de Acesso Controlado, que é aproximadamente o equivalente CC da classificação TCSEC C2, há vários anos e em outubro de 2002 sua avaliação foi concluída. A Science Applications International Corporation (SAIC), a empresa independente que realizou a avaliação, descobriu que o Windows 2000 com Service Pack 3 atendia ao Perfil de Proteção de Acesso de Controle com um Nível de Garantia de Avaliação (EAL) de 4 mais a correção de falhas. Um EAL de 4 é considerado o nível mais alto alcançável por software de uso geral, e Flaw Remediation refere-se ao mecanismo do Windows Update para aplicação oportuna de correções de segurança. Esta classificação é o nível mais alto alcançado até agora sob o CC por um sistema operacional.

VISUAL STUDIO: COLOCAR UM RELÓGIO NO LASTERROR

Se você desenvolve aplicativos que dependem da API do Win32, então você quase certamente escreveu código que executa uma função Win32, mas por qualquer motivo não relata erros específicos. Se sim, esta dica será útil. Ao adicionar a expressão @ERR,hr à janela de observação, você verá a representação numérica e textual do valor armazenado como variável do LastError thread atual, que é o GetLastError() valor retornado pela função Win32.

O VALOR DO REGISTRO LAMEBUTTONTEXT EXPLICADO

Se você examinou os rastreamentos Regmon em um sistema Windows 2000 ou XP de uma inicialização de aplicativo do Windows, provavelmente viu referências ao valor HKCU\Control Panel\Desktop\LameButtonTextdo Registro , geralmente com um NOTFOUND erro. Alguém na Microsoft obviamente tem senso de humor, mas para que serve esse valor? Acontece que ele armazena o texto que você vê no Windows beta e libera versões candidatas em barras de título de janela que direciona você a clicar em um link para relatar feedback. Seria legal se você pudesse habilitá-lo em versões não pré-lançadas do Windows para colocar texto personalizado, mas sua funcionalidade infelizmente está desativada em versões de produção.

HISTÓRICO DE DESENVOLVIMENTO DO WINDOWS

Paul Thurrott tem uma boa série de artigos de 3 partes sobre a história do processo de desenvolvimento do Windows NT. Confira em http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

UMA RÁPIDA INTRODUÇÃO À ANÁLISE DE DESPEJO DE MEMÓRIA

Quando um sistema falha imediatamente após a instalação de um novo hardware ou software, o diagnóstico da causa é óbvio. Às vezes, no entanto, falhas do sistema ocorrem ocasionalmente e não há motivo aparente. Nesses casos, a única maneira de determinar a causa do acidente é analisar um despejo de falha. Neste tutorial, descreverei como a Análise de Falhas Online (OCA) da Microsoft funciona e como ela pode lhe dar a resposta para um quebra-cabeça de falhas e, em seguida, explicarei como configurar seu próprio ambiente de análise de falhas para que você possa dar uma olhada em falhas que a OCA não analisará ou não poderá analisar com êxito.

A Microsoft introduziu o OCA com o lançamento do Windows XP para ser um serviço de análise automatizado baseado em um repositório centralizado de informações relacionadas a falhas. Depois que um sistema XP reinicia de uma falha, ele solicita que você envie informações de falha para o site OCA (http://oca.microsoft.com/en/Welcome.asp). Se você concordar, o XP carrega um arquivo XML que descreve a configuração básica do sistema, juntamente com um arquivo de falha de minidump de 64 KB. Um minidump contém uma pequena quantidade de dados imediatamente relevantes para uma falha, como o código de falha, a pilha do thread que estava sendo executado no momento da falha, a lista de drivers carregados no sistema e as estruturas de dados que gerenciam o processo em execução quando a falha aconteceu.

Uma vez que o OCA recebe as informações, ele passa a analisá-las e armazena o resumo da análise em um banco de dados. Se você seguir o prompt após o upload e visitar o site da OCA, você terá a oportunidade de acompanhar a análise. Isso requer que você faça login com uma conta do Passport. Em seguida, insira um nome para a falha e algum texto descrevendo a natureza da falha. Se o mecanismo OCA correlacionar a falha com outras no banco de dados para as quais a Microsoft identificou uma causa, o site notificará você por email e, quando você visitar novamente o site e pesquisar a falha enviada, a resolução informará onde obter uma atualização de driver ou sistema operacional. Infelizmente, enquanto o suporte OCA é construído no XP e aceita arquivos de despejo de memória do Windows 2000, ele não suporta NT 4 e não pode identificar a causa da maioria das falhas (pelo menos na minha experiência).

Para executar a análise de falhas por conta própria, você precisará das ferramentas apropriadas, que a Microsoft fornece na forma do pacote Ferramentas de Depuração para Windows do qual você pode baixar http://www.microsoft.com/ddk/Debugging/. O pacote inclui, entre outras coisas, a ferramenta de análise Windbg. Depois de baixar e instalar as ferramentas, execute o Windbg e abra o File|Caixa de diálogo Caminho do arquivo de símbolo. Lá você diz ao Windbg onde encontrar arquivos de símbolos para a versão do sistema operacional a partir da qual uma falha que você está analisando gerou. Você pode inserir um caminho para um diretório onde instalou símbolos, no entanto, isso requer que você obtenha arquivos de símbolos para o sistema operacional exato, service pack e hot fixes instalados no sistema com falha. Acompanhar manualmente os arquivos de símbolos é tedioso e se você quiser analisar falhas de diferentes sistemas, você tem que se preocupar com diferentes conjuntos de arquivos de símbolos para cada instalação diferente.

Você pode evitar problemas com arquivos de símbolos apontando o Windbg para o servidor de símbolos da Microsoft. Quando você o configura para usar o servidor de símbolos, o Windbg baixa automaticamente os arquivos de símbolos sob demanda com base no despejo de memória aberto. O servidor de símbolos armazena símbolos para NT 4 a Server 2003 betas e candidatos a lançamento, incluindo service packs e hot fixes. A sintaxe para direcionar Windbg para o servidor de símbolos é srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Substitua c:\symbols pelo diretório onde você deseja armazenar arquivos de símbolo. Para obter mais informações sobre símbolos, consulte http://www.microsoft.com/ddk/debugging/symbols.asp

Há mais uma etapa que você precisa executar antes de estar pronto para analisar despejos de falha: configurar seus sistemas para gerá-los. Faça isso abrindo o miniaplicativo Sistema no painel de controle e, no Win2k e superior, clicando no botão Inicialização/Desligamento da página Avançado. No NT 4, vá para a guia Inicialização/Desligamento do miniaplicativo. A única opção de despejo de memória em sistemas NT 4 é um despejo de memória completo, onde todo o conteúdo da memória física no momento de uma falha é salvo no arquivo especificado. No Win2k e superior existem três opções: mini, kernel e full. Win2K & XP Professional e Home padrão para mini; Os sistemas de servidor padrão são completos. Para máquinas de estação de trabalho/cliente, altere a configuração de mini para kernel dump, o que salva apenas partes da memória física de propriedade do sistema operacional (em oposição aos aplicativos), uma vez que isso minimiza o tamanho do arquivo de despejo de memória e ainda fornece informações completas sobre as estruturas de dados do kernel que o Windbg precisa para analisar efetivamente uma falha. Para sistemas Server, dumps completos são bons, mas dumps de kernel são uma escolha segura (e possivelmente sua única escolha se você tiver um sistema de memória muito grande).

Agora você está pronto para analisar uma falha. Quando um ocorrer, basta carregar o arquivo de despejo resultante no Windbg selecionando o arquivo|Abra a opção de menu Despejo de falha. À medida que o despejo é carregado, o Windbg começa a processá-lo e você verá mensagens sobre a versão do sistema operacional e o carregamento do símbolo. Em seguida, você verá uma mensagem com o texto "Análise de verificação de bugs". A saída após a mensagem relata o código de falha e os parâmetros do código de falha, bem como um "provavelmente causado por".

Em alguns casos, a análise básica que o Windbg executa aqui é suficiente para identificar o driver ou o componente do kernel com falha. Recomendo, no entanto, sempre digitar o seguinte comando: !analyze -v. Este comando resulta na mesma análise, mas com mais informações. Por exemplo, o texto explicará o significado do código de falha e dirá o que os parâmetros opcionais representam, às vezes com conselhos sobre o que tentar a seguir. Você também verá um rastreamento de pilha, que é um registro da execução da função que leva ao código no qual a falha ocorreu. Se um driver passa dados defeituosos para o kernel ou um driver identificado pela análise, você pode ver seu nome no rastreamento e pode identificá-lo como uma possível causa raiz.

Se você quiser se aprofundar no estado do sistema no momento da falha, existem inúmeros comandos Windbg que permitem que você veja a lista de processos em execução, drivers carregados, uso de memória e muito mais. O arquivo de ajuda do Windbg também contém uma referência de verificação de bugs que eu recomendo que você acompanhe para obter mais informações e orientações, e se você ainda acabar perplexo, recomendo que você realize uma pesquisa na Base de Dados de Conhecimento da Microsoft (KB) para o código de falha. A Microsoft cria artigos da Base de Dados de Conhecimento para falhas comuns e conduz você a sites de fornecedores ou hot fixes que corrigem problemas específicos.

Se você quiser me ver apresentar essas informações ao vivo, com exemplos, então me confira em qualquer uma das seguintes conferências:

  • O seminário interno e de solução de problemas que David e eu estamos realizando em abril em Bellevue, WA
  • Windows e .NET Magazine Connections em Scottsdale, AZ em maio: http://www.winconnections.com/win
  • TechEd US (Dallas) ou TechEd Europe (em Barcelona) este verão

Obrigado por ler a Newsletter da Sysinternals.

Publicado quarta-feira, 19 de fevereiro de 2003 16:47 por ottoh

[Arquivo de boletins informativos ^] <[ Volume 4, Número 3] [Volume 5, Número 2 >]