windows系统和进程活动.ppt
TNQ400-02,1994-2000 David A.Solomon And Jamie E.Hanrahan,理解Windows 2000 和 NT4系统和进程活动,演讲必备条件,这个演讲假设您理解以下基础知识:操作系统概念的基础知识(虚拟内存、进程和多任务)基本Windows NT和Windows 2000使用和管理这是一个300级的讲座,今天您将学到以下知识,查看进程细节例如打开文件句柄、I/O活动、DLL使用和安全操作系统帐户和应用程序CPU时间(包括中断)在系统进程树中识别每一个系统进程将Windows NT服务映射到正在运行该服务的进程上将核心态运行的系统线程活动匹配到驱动程序或者拥有线程的OS组件,议事日程,工具概述理解进程和线程活动理解CPU时间统计理解系统进程进程崩溃,工具 可执行文件 相关工具包性能监视 Sysmon Windows 2000(Perfmon in NT4)注册表编辑器 RegEdt32 Windows 2000 进程查看器 pviewer Windows 2000 支持工具任务列表 tlist Windows 2000 支持工具依赖关系浏览 depends Windows 2000 支持工具打开句柄 ohWindows 2000 服务器资源工具箱QuickSlice qsliceWindows 2000 服务器资源工具箱句柄查看器 列表DLL 文件监视器 注册表监视器 进程状态 pstatNT4 资源工具箱或平台SDK,工具列表,议事日程,工具概述理解进程和线程活动理解CPU时间统计理解系统进程进程和系统崩溃,进程地址空间,系统地址空间,线程,线程,线程,进程和线程,什么是进程?代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程?进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程,.EXE 代码全局每个线程的用户模式堆栈进程堆栈.DLL 代码,00000000,7FFFFFFF,Exec,Kernel,HAL,驱动程序,每个线程的核心态模式堆栈,Win32K.Sys文件系统缓存页面池非页面池,FFFFFFFF,80000000,进程页面表超级空间,C0000000,32-位虚拟地址空间,2 GB的进程空间进程地址空间不可以被其他进程直接访问2 GB的系统范围空间在这个空间中加载操作系统,并且存在于每一个进程地址空间“操作系统”没有进程(尽管有一些进程服务于操作系统,但是它们或多或少都是在“后台”运行),每个进程单独的地址空间,可以在用户态或核心态访问,系统范围,只可以在核心态下访问,每个进程的空间,只能在核心态下访问,Windows 2000作业对象,新的内核对象定义了一组相关进程CreateJobObject/OpenJobObject可以指定作业范围的属性、资源分配额和安全限制资源分配额:总的和目前CPU时间、总的和活动进程、每一个进程和作业的CPU时间、最小和最大的工作集合属性:CPU相似性、优先级、调度级别安全限制:没有管理员令牌,只有受限令牌、指定令牌、过滤令牌,不能访问作业外面的窗口,不能读/写剪贴板,查看进程信息,许多重叠的工具!他们都显示进程和线程信息的不同部分 但是有一些工具可以显示其他工具不能显示的内容 运行的映象的名字可能不能说明它是什么 发现EXE在磁盘的位置 PS.VBS(或者 pslist.exe)可以显示绝对路径 如果系统速度降低,第一个问题是:系统正在运行什么进程?一个快速的方法:运行任务管理器,按CPU使用率排序,任务管理器,启动:Ctrl+Shift+Esc;或者Ctrl+Alt+Del;或者在任务栏的空白处右击 与其他进程显示实用程序重叠的部分 除了Win 16进程信息,只有这里可以看(在进程选项卡上单击选项-显示16-位任务)应用程序选项卡:最顶层可见的窗口列表 只有线程拥有窗口(在窗口上右击并选择“查看进程”),进程选项卡:进程列表 可以使用查看-选项栏数 在标题栏上单击按该列排序 在进程名字上右击来改变进程的优先级、结束进程树(在Windows 2000新增加的功能),或者(在MP上)CPU分配 性能选项卡:NT性能计数器的子集,进程查看器,支持工具中的Pviewer.exe 显示线程详细信息 每一个线程的起始地址 每一个线程的CPU时间 可以显示远程进程列表 但是不能杀死远程进程 使用exec.vbs或者资源工具箱中的rkill,使用TLIST/T查看进程层次结构,理解进程的父亲可以帮助确认进程的来源和作用 tlist/t 显示继承关系树如果父进程不是活动的,进程左对齐 例如,不能查看创建者例如:explorer.exe的父进程是死 的(它实际是由 userinit.exe启动的,然后父进程退出)Windows 2000 可以显示父进程标识号 任务管理器有一个“结束进程树”在进程上右击,查看打开句柄,句柄泄露可以作为系统内存泄露显示!任务管理器可以显示总的进程句柄 资源工具箱“Oh”工具(第一次运行可以设置一个NT全局标记并需要重新启动查看资源工具箱中的gflags.exe)(使用一个设备驱动程序)的handleex(图形用户界面)或 nthandle(控制台),查看DLL使用,资源工具箱中的Depends.exe 显示从EXE到DLL的静态链接 也可以“构造”进程并且显示动态DLL加载,查看DLL使用,要诊断 DLL 冲突,您需要知道哪一个 DLLs被加载以及从哪加载的tlist 或者 tlist 列出了 DLL,但是不包括路径 的listdlls 可以显示全部路径也显示.EXE的全路径 对于跟踪进程的实质是十分重要的!,I/O活动,如何隔离系统I/O活动?使用系统性能对象中的I/O计数器来得到所有的数据 使用Windows 2000中的新的进程I/O计数器来发现进程使用 Filemon()来发现哪个进程在访问哪个文件不要忘记正常的文件I/O就象页面式I/O(由于缓存管理的设计),注册表活动,注册表应该在一个稳定的系统中保持“稳定”例如,它不应该是一个频繁访问的数据库运行 RegMon()来确定您的注册表(大多数情况下)是不活动的,小测验(进程和线程),NT的调度单元是什么?,A:线程,线程在运行中,但是却没有占用任何CPU时间,为什么?,A:当时间片到来时它们不是当前线程。,进程沙箱的尺寸是多大?,A:2 gigabytes,议事日程,工具概述 理解进程和线程活动 理解CPU时间统计 理解系统进程 进程和系统崩溃,核心态对用户态模式,一个处理器状态 控制内存访问 每一个内存页面都标记着需要访问时处理器的状态 保护系统不受用户侵害 保护用户进程相互侵害 系统本身可以访问自己”代码区标记“不可以在任何模式下写”控制执行特权指令的能力 一个Windows NT抽象Intel:Ring 0,Ring 3,相关的线程线程可以从用户态切换到核心态,而且反之亦然保存的上下文的一部分和注册表,等等。不影响调度 计数器:“特权时间”和“用户时间”四级粒度:线程、进程、处理器和系统,进入核心模式,Windows 2000在下列三种情况下切换到核心态模式 1.用户态下的请求 通过系统服务调度机制 核心态代码运行在请求线程的上下文中2.外部设备的中断请求Windows NT支持的中断调度器唤醒中断服务例程ISR运行在被中断的线程的上下文中(所谓的“任意的线程上下文”)ISR 经常请求一个“DPC例程”的执行,它运行在核心态模式中 中断处理时间不包括在被中断线程的时间片内3.核心态模式系统线程 系统中的一些线程始终保持在核心态模式(大部分在“系统”进程中)调度的、优先的等等,象任何其他线程,检查进程CPU时间,查看进程在核心态下的时间可以告诉您进程现在在做什么100%用户时间:应用程序占用部分用户时间、部分核心态时间:做系统调用使用 qslice.exe(资源工具箱)或者 PerfMon,中断调度,中断调度例程,关闭中断记录机器状态(陷阱帧)来允许恢复 比较屏蔽吗并且降低中断优先级 寻找和调用合适的ISR打开中断 恢复机器状态(包括模式和中断),告诉设备停止中断审问设备状态、启动设备下一个操作,等等。请求一个 DPC返回调用者,中断服务例程,中断!,用户态或核心态代码,核心态模式,!注意,没有线程或者进程 上下文,中断优先级,IRQL=中断请求优先级 关于其他中断的中断优先级不同的中断源有不同的IRQL与IRQ不同 在多处理器系统中每一个CPU可以有不同的IRQL,正常的线程执行,硬件中断,可延迟软件中断,0,1,2,30,29,28,31,队列首,XydriverDpcRtn(DpcObj,DfrdCtx,SysArg1,SysArg2)/.,(DPC)延迟过程调用,“工作请求”列表 每一个处理器一个队列(但是处理器可以运行其他处理器的DPC)隐式的通过请求时间来排列(FIFO)用来从更高(设备)中断优先级到低优先级(分配)的延迟过程调用 主要用于驱动程序“后中断”功能 用于时间片结束和计数器到时,统计核心态模式时间,“处理器时间”=处理器总的工作时间(等于经过的时间-空闲时间)“处理器时间”=“用户时间”+“特权时间”“特权时间”=用于核心态模式的时间“特权时间”包括:中断时间DPC 时间注意:中断和DPC不包括在任何进程或线程的时间片内,Screen snapshot from:Programs|Administrative Tools|Performance Monitorclick on“+”button,or select Edit|Add to chart.,小测验(时间统计),如果系统运行速度降低,并且没有进程在运行,这是怎么回事?,A:中断 在PerfMon 中查看interrupts/sec,议事日程,工具概述 理解进程和线程活动 理解CPU时间统计 理解系统进程进程和系统崩溃,进程创建层次结构,tlist.exe(资源工具箱中)可以显示创建层次结构(“tlist/t”)如果父进程是死的,进程左对齐例如,如果创建者不在了,就不能看见创建者例如,explorer.exe的父进程死了(它实际由userinit.exe启动,然后父进程退出),系统进程树,前两个进程不是实时进程 不运行用户模式.EXE(没有映像名)因此,每一个实用程序起一个名字(空闲)进程标识为 0装入系统映像的一部分 空闲线程的原始(不是实时进程或实时线程)(系统)进程标识为8(在Win2000 和 NT4中,是进程标识为2)装入系统映像的一部分 内核定义线程的原始(非实时进程)线程 0(例程名为Phase1Initialization)装入第一个“实时”进程,smss.exe(然后变为零页线程),系统线程,在操作系统和驱动程序中的子程序,需要作为实时线程来运行例如需要和其他系统活动并行运行,定时等待,执行后台的“housekeeping”工作详细情况,见PsCreateSystemThread 的DDK文档系统线程出现在什么进程中?NT4:“系统”进程(PID 2)Windows 2000:windowing系统线程在“csrss.exe”(Win32 子系统进程)中在“系统”(PID 8)中,系统线程的例子,核心操作系统(NTOSKRNL.EXE)修改页复写器 平衡设置管理器 交易者(内核堆栈,工作设置)高速缓冲存储器管理器复写器 零页线程(线程0,优先级0)一般工作者线程池(ExQueueWorkItem)文件服务器(SRV.SYS)软盘驱动程序(FLOPPY.SYS),识别系统线程,要实际地了解正在进行什么,必须找到该线程“属于”哪个驱动程序1.使用PerfMon来监测个别线程活动2.在Pviewer中获得相关线程和查询“开始地址”(线程函数地址)3.运行ntreskitpstat来找到线程属于哪个驱动程序(查找哪个驱动程序在线程的开始地址附近开始可能必须计算驱动程序的结束地址),识别系统线程,如果是NTOSKRNL.EXE线程,必须找到子程序的名字1.打开任意的系统事故转储文件并输入“x*”,通过内核调试器转储NTOSKRNL.DBG(或者NTKRNLMP.DBG)注释:每一个服务包的变量值不同 2.查找地址 详细内容,参见Windows NT技术内幕第 二章,第二版在如下站点免费提供 http:/,系统进程树(cont.),smss.exe 对话管理器 第一个创建的进程引入参数 HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(csrss),然后winlogoncsrss.exeWin32 子系统winlogon.exe登录进程:装入services.exe 和 lsass.exe 显示登录对话框(“键入CTRL+ALT+DEL,登录)当有人登入,运行在 HKLMSoftwareMicrosoftWindows NTWinLogonUserinit 中的进程(通常只是userinit.exe)services.exe 服务控制器:也是几项服务的出发点 服务的开始进程不是services.exe的一部分(由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器(打开SAM)userinit.exe登陆之后启动。启动外壳(通常是Explorer.exe 见 HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonShell)装入配置文件,恢复驱动器标识符映象,然后退出(因此,浏览器单独显示)explorer.exe和它的孩子是所有交互式应用的创建者,Win32子系统进程(csrss.exe),包括window系统的用户模式部分 主体在WIN32K.SYS(内核模式驱动程序)中不常用的调用:进程创建和删除 线程创建和删除 获得临时文件名 驱动器标识符 文件系统转向器的安全检查 Window控制台(字符单元)应用程序的管理 16位DOS支持(NTVDM.EXE),服务控制器,服务进程,安装时间Setup程序通知服务控制器有关服务事项 在系统启动时,服务控制器读注册表,按照所要求的启动服务管理/维护控制面板可以启动和终止服务,及改变启动参数,Setup程序,CreateService,注册表,服务进程,控制面板,将服务进程映射为服务名,如果正在运行一个服务进程,如何发现包含哪项服务?Tlist/S-显示每个服务进程中有哪些服务并非始终的一对一映射 一些服务进程包含不止一项服务例如services.exe包括事件日志、工作站和服务器服务,议程,工具预览 理解进程和线程活动 理解CPU时间统计 理解系统进程 进程和系统崩溃,进程崩溃,注册表定义的未处理例外行为HKLMSoftwareMicrosoftWindows NTCurrentVersionAeDebugDebugger=应用程序崩溃时运行调试器的文件名Auto 1=立即运行调试器0=首先询问用户零售NT系统缺省的是 Auto=1;Debugger=DRWTSN32.EXE使用VC+缺省的是:Auto=0,Debugger=MSDEV.EXE,Dr.Watson,缺省地自动运行该程序可以运行DRWTSN32.EXE来进行用户设置日志文件(“drwtsn32.log”)在Documents和SettingsAll UsersDocumentsDrWatson 目录下,高级用户转储,Windows 2000调试工具的一部分包括在Windows 2000 用户诊断CD中,Windows 2000 DDK,Windows Platform SDK 允许对运行过程进行映像在命令行使用通过按下预定义的“热键”(在图形用户界面(GUI)不响应的情况下有用),问题与解答,详细信息参见以下网址,TechNet website:Official C Center on Windows IT Professionals User Groups in your area,演讲信誉,作者:David Solomon()感谢Jamie Hanrahan(),他合著了Windows NT 内部技术讲座,从该讲座中得到这些幻灯片 制作者/编辑:Ken Kubota同时感谢Windows 2000 开发组中的成员,他们提供了一些内部问题的解答,并对本书进行了评论,同时提供了源代码 特别是:Dave Cutler,Lou Perazzoli,Mark Lucovsky,Tom Miller,Gary Kimura,Landy Wang,Rob Short,Andre Vachon,作者介绍David Solomon,是 Windows NT技术内幕,第二版(Microsoft Press)和Windows NT for OpenVMS Professionals(Digital Press)的作者 在Digital工作了十四年,后十年作为VMS操作系统开发组中的开发人员 在1992年创建Windows NT开发人员培训公司 为工业会议中的合格演讲者(WinDev,TechEd,软件开发,DECUS.)是对MSWIN32技术支持Microsoft MVP奖项的获得者,