Partilhar via

  • Artigo

[Arquivo de boletins informativos ^] <[ Volume 6, Número 1] [Volume 7, Número 1 >]

The Systems Internals Newsletter Volume 6, Número 2

http://www.sysinternals.com
Direitos de autor (C) 2004 Mark Russinovich

30 de julho de 2004 - nesta edição:

  1. EDITORIAL

    • Artigo de Dave Solomon Guest sobre como se aprofundar nos detalhes do thread com o Process Explorer

  2. O QUE HÁ DE NOVO NA SYSINTERNALS

    • Atualizações de ferramentas
    • Sysinternals é um site da comunidade do Microsoft Windows XP

  3. CALL FOR SYSINTERNALS HISTÓRIAS DE SUCESSO

    • Envie-nos as suas histórias de sucesso e ganhe uma T-shirt Sysinternals!

  4. ARTIGOS DE REVISTAS

    • PsExec
    • O embuste de otimização de memória

  5. CLASSE PRÁTICA DE SOLUÇÃO DE PROBLEMAS DO WINDOWS INTERNALS & ADVANCED TROUBLESHOOTING

    • São Francisco - 27 de setembro a 1 de outubro

  6. AGENDA DE PALESTRAS DE MARK

    • Mentor Técnico
    • Conexões do Windows
    • Fórum de TI da Microsoft

A Newsletter da Sysinternals é patrocinada pela Winternals Software, na Web em http://www.winternals.com. A Winternals fornece Recuperação Inteligente para a Microsoft Enterprise.

O Windows XP Service Pack 2, que será lançado em breve, oferecerá inúmeros benefícios, mas pode resultar em comportamentos indesejados ou imprevistos dentro do sistema operacional e nos aplicativos. O Winternals Recovery Manager permite reverter com segurança e rapidez sistemas que são afetados negativamente por patches e service packs, mesmo que os sistemas tenham sido tornados não inicializáveis. Para saber mais sobre o Recovery Manager e solicitar um CD de avaliação, visite: http://www.winternals.com/es/solutions/recoverymanager.asp

EDITORIAL

Dave Solomon e eu ainda estamos trabalhando duro na próxima edição de "Inside Windows 2000" (a ser chamado de "Windows Internals", 4ª edição) e esperamos ter o manuscrito completo nas próximas semanas. O livro, que abrange Windows 2000, Windows XP e Windows Server 2003, está mostrando um crescimento de cerca de 20% em relação à 3ª edição. Achamos que você achará o livro ainda mais valioso do que a edição anterior porque, além de expandir o material existente e adicionar novo texto para cobrir as alterações do XP e 2003, adicionamos material de solução de problemas para tópicos como análise de despejo de falhas, inicialização do sistema, memória, CPU, sistema de arquivos e registro.

Como estou focando meu tempo em terminar o livro, esta newsletter é breve, mas continuarei a receber boletins regulares assim que o livro terminar. Enquanto isso, estou incluindo um artigo convidado de Dave Solomon sobre o uso mais avançado do Process Explorer do que o que abordei no último boletim informativo.

Aproveite e por favor passe a newsletter para as pessoas que você acha que vai achar interessante!

  • Mark Russinovich

Aprofundando a atividade de thread com o Process Explorer

Por Dave Solomon (daves@..., http://www.solsem.com)

O Process Explorer fornece acesso fácil à atividade de thread dentro de um processo. Isso é especialmente importante se você estiver tentando determinar por que um processo está em execução que está hospedando vários serviços (como Svchost.exe, Dllhost.exe, Inetinfo.exe ou o processo do sistema) ou por que um processo está suspenso.

Para visualizar os threads em um processo, selecione um processo e abra as propriedades do processo (clique duas vezes no processo ou clique no item de menu Process-Properties>) e clique na guia Threads. Isso mostra uma lista dos threads no processo, a porcentagem de CPU consumida (com base no intervalo de atualização configurado), o número de opções de contexto para o thread e o endereço de início do thread. Você pode classificar por qualquer uma dessas três colunas. À medida que você seleciona cada thread na lista, o Process Explorer exibe a ID do thread, a hora de início, o estado, os contadores de tempo da CPU, o número de opções de contexto e a prioridade base e atual. Há um botão Kill que encerrará um thread individual, mas isso deve ser usado com extremo cuidado.

Os novos threads criados são realçados em verde e os threads que saem são realçados em vermelho (a duração do realce pode ser configurada com o item de menu Opções-Configurar> Realce). Isso pode ser útil para descobrir a criação de threads desnecessários que ocorrem em um processo (em geral, os threads devem ser criados na inicialização do processo, e não toda vez que uma solicitação é processada dentro de um processo).

O delta do comutador de contexto representa o número de vezes que o thread começou a ser executado entre as atualizações configuradas para o Process Explorer e é uma maneira diferente de determinar a atividade do thread do que a porcentagem de CPU consumida, uma vez que muitos threads são executados por um período de tempo tão curto que raramente (ou nunca) são o thread atualmente em execução quando ocorre a interrupção do temporizador de relógio de intervalo e, portanto, não são cobrados pelo tempo da CPU.

O endereço de início do thread é exibido no formato "module!function", onde module é o nome do .EXE ou .DLL. O nome da função depende do acesso a arquivos de símbolo para o módulo, que você obtém se configurar o Process Explorer para usar o Microsoft Symbol Server (consulte a ajuda, inclusive com as Ferramentas de Depuração da Microsoft para Windows, que você pode baixar do site da Microsoft em http://www.microsoft.com/whdc/devtools/debugging/default.mspx). Se não tiver a certeza do que é o módulo, prima o botão do módulo. Isso abre uma janela de propriedades do arquivo Explorer para o módulo que contém o endereço inicial do thread (por exemplo, o .EXE ou .DLL). Para threads criados pela função do Windows CreateThread , o Process Explorer exibe a função passada para CreateThread, não a função de início de thread real. Isso ocorre porque todos os threads do Windows começam em um processo comum ou função wrapper de inicialização de thread (BaseProcessStart ou BaseThreadStart em Kernel32.dll). Se o Process Explorer mostrasse o endereço inicial real, a maioria dos threads nos processos pareceria ter começado no mesmo endereço, o que não seria útil para tentar entender qual código o thread estava executando.

No entanto, o endereço de início do thread exibido pode não ser informações suficientes para identificar o que o thread está fazendo e qual componente dentro do processo é responsável pela CPU consumida pelo thread. Isso é especialmente verdadeiro se o endereço inicial do thread for uma função de inicialização genérica (por exemplo, se o nome da função não indicar o que o thread está realmente fazendo). Neste caso, examinar a pilha de threads pode responder à pergunta. Para visualizar a pilha de um thread, clique duas vezes no thread de interesse (ou selecione-o e pressione o botão Stack). O Process Explorer exibe a pilha do thread (usuário e kernel, se o thread estiver no modo kernel). Enquanto os depuradores de modo de usuário (Windbg, Ntsd e Cdb) permitem que você anexe a um processo e exiba a pilha de usuários para um thread, o Process Explorer mostra o usuário e a pilha do kernel em um clique fácil de um botão. Você também pode examinar pilhas de threads de usuário e kernel usando Livekd de Sysinternals, no entanto, é mais difícil de usar; observe que a execução do Windbg no modo de depuração do kernel local, que só é suportado no Windows XP ou Windows Server 2003, não mostra pilhas de threads.

[Nota pessoal de Mark - isso me ajudou a resolver por que o Powerpoint estava pendurado por um minuto toda vez que eu o iniciei. Eu usei o Process Explorer para olhar para a pilha de um thread no processo do Powerpoint; ele estava esperando em uma chamada para se conectar a uma impressora de rede; Acontece que eu tinha uma conexão com uma impressora de rede que não estava respondendo, e como os aplicativos do Microsoft Office se conectam a todas as impressoras configuradas na inicialização do processo, o Powerpoint foi "travado" até que a tentativa de conexão à impressora expirou. Depois que eu apaguei a conexão com a impressora, o problema desapareceu.]

O QUE HÁ DE NOVO NA SYSINTERNALS

ATUALIZAÇÕES DE FERRAMENTAS

Várias ferramentas foram atualizadas desde o último boletim informativo, em abril. Aqui está um resumo das melhorias:

Explorador de Processos

O Process Explorer é uma substituição do Gerenciador de Tarefas (você pode até mesmo substituir o Gerenciador de Tarefas completamente por uma seleção no menu Opções do Process Explorer).

  • A guia TCP/IP nas propriedades do processo exibe conexões TCP e UDP; As alterações são realçadas em cores, facilitando a visualização de conexões novas e fechadas
  • Versão de 64 bits para sistemas AMD64
  • Suporte para definir máscaras de afinidade de processo em sistemas SMT (hyperthreaded) e SMP
  • Exibir aprimoramentos de desempenho de atualização

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

DepurarView

DebugView é um utilitário de desenvolvedor que permite capturar a saída de depuração do modo de usuário e do modo kernel sem um depurador localmente ou através da rede.

  • Modo kernel maior e buffers de usuário
  • Mais filtros de realce
  • Encapsulamento de arquivo de log
  • Suporte para saída de depuração do kernel do Windows XP SP2
  • Limpa a saída quando vê a cadeia de depuração especial "clear output"

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves é um novo utilitário Sysinternals que mostra comandos de movimentação e exclusão de arquivos que foram agendados em um sistema para ocorrer na próxima inicialização.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore é um utilitário de linha de comando que aproveita o "tombstoning" do Ative Directory (AD) do Windows Server 2003 para fornecer um recurso limitado de undelete para objetos do AD.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Proteção de tela azul

Este protetor de tela, que imita a tela azul da morte, agora suporta sistemas multimonitor e Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

LogonSessions

Este novo utilitário de linha de comando mostra a lista de sessões de logon em um sistema, incluindo rede, interativo e lote, e também mostra os processos em execução em cada sessão.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Ferramentas Pstools

O pacote Pstools consiste em 11 ferramentas de linha de comando administrativas que funcionam local e remotamente. Muitos deles foram atualizados nos últimos meses para incluir suporte para vários sistemas de computador que você pode especificar na linha de comando ou em um arquivo de texto.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

O Autoruns mostra a lista mais abrangente de locais de registro e sistema de arquivos do Windows que os aplicativos podem usar para se configurar para iniciar automaticamente durante o processo de inicialização.

  • Os locais do sistema de arquivos e do Registro agora abrangem várias colunas para facilitar a leitura
  • Opção para exibir apenas entradas que não sejam da Microsoft, facilitando a visualização de qual software não-MS está configurado para iniciar quando você fizer login
  • Agora pode desativar uma entrada sem excluí-la do registro (torna Autoruns agora um superconjunto de Msconfig)
  • Opção para exibir serviços configurados para iniciar no momento da inicialização

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Além das atualizações de ferramentas, há uma atualização para um artigo técnico:

Boot.ini Referência de opção

Essa referência agora inclui opções boot.ini adicionadas no Windows XP e no Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS É UM SITE DA COMUNIDADE DO MICROSOFT WINDOWS XP

Sysinternals tem sido um site de comunidade para o Windows XP Embedded em Microsoft.com por vários anos e agora estou orgulhoso de anunciar que a Microsoft também fez Sysinternals um site de comunidade na página Windows XP Expert Zone:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

À PROCURA DE HISTÓRIAS DE SUCESSO DA SYSINTERNALS!

O público em meus seminários e apresentações de conferências adora ouvir histórias de sucesso reais, então se você tiver uma solução de problemas com as ferramentas Sysinternals, eu adoraria ouvir sobre isso. Quando você me manda um na mark@... Vou inscrever-te num sorteio mensal para ganhares uma t-shirt Sysinternals de edição limitada e esgotada. Por favor, seja o mais detalhado possível sobre como você usou a ferramenta Sysinternals para resolver o problema e, se possível e aplicável, envie capturas de tela e/ou arquivos de log (Filemon e Regmon podem salvar sua saída em um arquivo de texto).

ARTIGOS DE REVISTAS

Psexec

Este artigo que escrevi para a edição de julho está atualmente disponível apenas para assinantes do Windows e da .NET Magazine. Ele aborda o uso avançado do Psexec e descreve como ele funciona e interage com a segurança do Windows.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

O embuste de otimização de memória

Nesta Revista Windows e .NET, que está disponível para não-assinantes, artigo eu descrevo o comportamento enganoso dos chamados "otimizadores de RAM".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

HANDS-ON WINDOWS INTERNALS E ADVANCED TROUBLESHOOTNIG CLASS

27 de setembro - 1 de outubro de 2004 - São Francisco

Pela primeira vez aberta ao público, David Solomon e eu estamos apresentando a versão prática de 5 dias do nosso Windows 2000/XP/2003 internals & advanced troubleshooting class em São Francisco, de 27 de setembro a 1 de outubro de 2004. (Os participantes devem trazer seu próprio laptop; os detalhes de configuração serão fornecidos com antecedência - não é necessária a compra de software adicional).

Esta é a mesma aula que ensinamos aos funcionários da Microsoft em todo o mundo. Ele abrange os internos de processos e threads, agendamento de threads, gerenciamento de memória, segurança, registro e sistema de E/S. Aprofunde-se em mecanismos como threads do sistema, despacho de chamadas do sistema, manipulação de interrupções, inicialização & desligamento. Aprenda técnicas avançadas de solução de problemas usando as ferramentas Sysinternals e como executar a análise de despejo de falhas.

Porquê fazer esta aula? Se você é um profissional de TI implantando e dando suporte a servidores e estações de trabalho Windows, precisa ser capaz de cavar abaixo da superfície quando as coisas dão errado. Ter compreensão dos componentes internos do sistema operacional Windows e saber como usar ferramentas avançadas de solução de problemas irá ajudá-lo a lidar com esses problemas e entender os problemas de desempenho do sistema de forma mais eficaz. Compreender os componentes internos pode ajudar os programadores a tirar melhor partido da plataforma Windows, bem como fornecer técnicas avançadas de depuração. E como o curso foi desenvolvido com acesso total ao código-fonte do kernel do Windows e aos desenvolvedores, você sabe que está entendendo a história real.

Para mais detalhes e inscrições, visite

http://www.sysinternals.com/troubleshoot.shtml

AGENDA DE PALESTRAS DE MARK

Depois de falar no Microsoft TechEd US e TechEd Europe em maio e junho, estou aproveitando o verão em casa no ensolarado Texas. Aqui estão meus próximos três compromissos de palestra na conferência:

TECHMENTOR

27 de setembro a 1 de outubro de 2004 San Jose, CA

Estou realizando quatro sessões nesta conferência, todas em 29 de setembro, incluindo "Windows e Linux: A Tale of Two Kernels" como keynote. As outras sessões que apresento são "Windows Hang and Crash Dump Analysis", "Windows XP and Windows Server 2003 Kernel Changes" e "Troubleshooting Windows Boot and Startup".

Você pode ler meus resumos e encontrar um link para a página de inscrição na conferência em

http://www.sysinternals.com/ntw2k/info/talk.shtml

CONEXÕES DO WINDOWS

Outubro 24-27, 2004 Orlando, FL

Nesta conferência, estou entregando minha palestra "Troubleshooting Windows Boot and Startup" como uma sessão geral e também estou apresentando "Troubleshooting Windows with the Sysinternals Tools", ambos no dia 24 (tenho orgulho em dizer que a Microsoft Network - MSN - me convidou para apresentar como discurso principal uma sessão de solução de problemas do Windows de um dia em sua conferência anual MSN Engineering Excellence Conference naquela semana em Seattle).

Leia os resumos e vá para o site da conferência em

http://www.sysinternals.com/ntw2k/info/talk.shtml

FÓRUM DE TI DA MICROSOFT

Copenhaga, Dinamarca

Estou oferecendo uma sessão tutorial pré-conferência de um dia com Dave Solomon sobre os principais componentes de segurança do Windows, bem como várias sessões de breakout por conta própria que ainda não foram determinadas. Você pode encontrar o resumo do tutorial pré-conferência e informações de inscrição aqui: http://www.microsoft.com/europe/msitforum/

Obrigado por ler a Newsletter da Sysinternals.

Publicado sexta-feira, 30 de julho de 2004 16:39 por ottoh

[Arquivo de boletins informativos ^] <[ Volume 6, Número 1] [Volume 7, Número 1 >]