windows系統(tǒng)和進程活動

《windows系統(tǒng)和進程活動》由會員分享，可在線閱讀，更多相關(guān)《windows系統(tǒng)和進程活動（49頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,*,TNQ400-02,1994-2000,David A.Solomon And Jamie E.,Hanrahan,理解,Windows 2000,和,NT4,系統(tǒng)和進程活動,演講必備條件,這個演講假設(shè)您理解以下基礎(chǔ)知識：,操作系統(tǒng)概念的基礎(chǔ)知識（虛擬內(nèi)存、進程和多任務(wù)）,基本W(wǎng)indows NT和Windows 2000使用和管理,這是一個300級的講座,今天您將學(xué)到以下知識,查看進程細(xì)節(jié)例如打開文件句柄、,I/O活動、DLL使用和安全,操作系統(tǒng)

2、帳戶和應(yīng)用程序CPU時間（包括中斷）,在系統(tǒng)進程樹中識別每一個系統(tǒng)進程,將,Windows NT服務(wù)映射到正在運行該服務(wù)的進程上,將核心態(tài)運行的系統(tǒng)線程活動匹配到驅(qū)動程序或者擁有線程的OS組件,議事日程,工具概述,理解進程和線程活動,理解,CPU時間統(tǒng)計,理解系統(tǒng)進程,進程崩潰,工具 可執(zhí)行文件 相關(guān)工具包,性能監(jiān)視,Sysmon,Windows 2000(,Perfmon,in NT4),注冊表編輯器,RegEdt32 Windows 2000,進程查看器,pviewer,Windows 2000,支持工具,任務(wù)列表,tlist,Windows 2000,支持工具,依賴關(guān)系瀏覽,depend

3、s Windows 2000,支持工具,打開句柄,ohWindows 2000,服務(wù)器資源工具箱,QuickSlice qslice,Windows 2000,服務(wù)器資源工具箱,句柄查看器,handleex,www.,sysinternals,.com,列表,DLL,listdlls,www.,sysinternals,.com,文件監(jiān)視器,filemon,www.,sysinternals,.com,注冊表監(jiān)視器,regmon,www.,sysinternals,.com,進程狀態(tài),pstat,NT4,資源工具箱或平臺,SDK,工具列表,議事日程,工具概述,理解進程和線程活動,理解,CPU時

4、間統(tǒng)計,理解系統(tǒng)進程,進程和系統(tǒng)崩潰,進程地址空間,系統(tǒng)地址空間,線程,線程,線程,進程和線程,什么是進程？,代表了運行程序的一個實例,每一個進程有一個私有的內(nèi)存地址空間,什么是線程？,進程內(nèi)的一個執(zhí)行上下文,進程內(nèi)的所有線程共享相同的進程地址空間,每一個進程啟動時帶有一個線程,運行程序的,“,主,”,函數(shù),可以在同一個進程中創(chuàng)建其他的線程,可以創(chuàng)建額外的進程,.,EXE,代碼,全局,每個線程的用戶模式堆棧,進程堆棧,.,DLL,代碼,00000000,7,FFFFFFF,Exec,Kernel,HAL,驅(qū)動程序,每個線程的核心態(tài)模式堆棧，,Win32K.Sys,文件系統(tǒng)緩存頁面池,非頁面池,

5、FFFFFFFF,80000000,進程頁面表,超級空間,C0000000,32-,位虛擬地址空間,2,GB的進程空間,進程地址空間不可以被其他進程直接訪問,2 GB的系統(tǒng)范圍空間,在這個空間中加載操作系統(tǒng)，并且存在于每一個進程地址空間,“,操作系統(tǒng),”,沒有進程（盡管有一些進程服務(wù)于操作系統(tǒng)，但是它們或多或少都是在,“,后臺,”,運行）,每個進程單獨的地址空間，可以在用戶態(tài)或核心態(tài)訪問,系統(tǒng)范圍，只可以在核心態(tài)下訪問,每個進程的空間，只能在核心態(tài)下訪問,Windows 2000,作業(yè)對象,新的內(nèi)核對象定義了一組相關(guān)進程,CreateJobObject,/,OpenJobObject,可以指定

6、作業(yè)范圍的屬性、資源分配額和安全限制,資源分配額：總的和目前,CPU時間、總的和活動進程、每一個進程和作業(yè)的CPU時間、最小和最大的工作集合,屬性：CPU相似性、優(yōu)先級、調(diào)度級別,安全限制：沒有管理員令牌，只有受限令牌、指定令牌、過濾令牌，不能訪問作業(yè)外面的窗口，不能讀/寫剪貼板,查看進程信息,許多重疊的工具！,他們都顯示進程和線程信息的不同部分,但是有一些工具可以顯示其他工具不能顯示的內(nèi)容,運行的映象的名字可能不能說明它是什么,發(fā)現(xiàn),EXE在磁盤的位置,PS.VBS(,或者,pslist,.exe),可以顯示絕對路徑,如果系統(tǒng)速度降低，第一個問題是：系統(tǒng)正在運行什么進程？,一個快速的方法：運

7、行任務(wù)管理器，按,CPU使用率排序,任務(wù)管理器,啟動：,Ctrl+Shift+Esc；,或者,Ctrl+Alt+Del；,或者在任務(wù)欄的空白處右擊,與其他進程顯示實用程序重疊的部分,除了,Win 16進程信息，只有這里可以看（在進程選項卡上單擊選項-顯示16-位任務(wù)）,應(yīng)用程序選項卡：最頂層可見的窗口列表,只有線程擁有窗口（在窗口上右擊并選擇,“,查看進程,”,）,進程選項卡：,進程,列表,可以使用查看-選項欄數(shù),在標(biāo)題欄上單擊按該列排序,在進程名字上右擊來改變進程的優(yōu)先級、結(jié)束進程樹（在,Windows 2000新增加的功能），或者（在MP上）CPU分配,性能選項卡：,NT,性能計數(shù)器,的子

8、集,進程查看器,支持工具中的,Pviewer,.exe,顯示線程詳細(xì)信息,每一個線程的起始地址,每一個線程的,CPU時間,可以顯示遠(yuǎn)程進程列表,但是不能殺死遠(yuǎn)程進程,使用,exec.,vbs,或者資源工具箱中的,rkill,使用,TLIST/T,查看進程層次結(jié)構(gòu),理解進程的父親可以幫助確認(rèn)進程的來源和作用,tlist/t,顯示繼承關(guān)系樹,如果父進程不是活動的，進程左對齊,例如，不能查看創(chuàng)建者,例如：,explorer.exe,的父進程是死 的,(,它實際是由,userinit,.exe,啟動的，然后父進程退出）,Windows 2000,可以顯示父進程標(biāo)識號,任務(wù)管理器有一個,“,結(jié)束進程樹,

9、”,在進程上右擊,查看打開句柄,句柄泄露可以作為系統(tǒng)內(nèi)存泄露顯示！,任務(wù)管理器可以顯示總的進程句柄,資源工具箱,“,Oh,”,工具（第一次運行可以設(shè)置一個,NT全局標(biāo)記并需要重新啟動查看資源工具箱中的,gflags,.exe,）,www.,sysinternals,.com(,使用一個設(shè)備驅(qū)動程序,),的,handleex,(,圖形用戶界面,),或,nthandle,(,控制臺,),查看,DLL使用,資源工具箱中的,Depends.exe,顯示從,EXE到DLL的,靜態(tài)鏈接,也可以,“,構(gòu)造,”,進程并且顯示動態(tài),DLL加載,查看,DLL使用,要診斷,DLL,沖突，您需要知道,哪一個,DLLs

10、,被加載以及從,哪,加載的,tlist,或者,tlist,列出了,DLL,但是不包括路徑,www.,sysinternals,.com,的,listdlls,可以顯示全部路徑,也顯示,.,EXE,的全路徑 對于跟蹤進程的實質(zhì)是十分重要的！,I/O,活動,如何隔離系統(tǒng),I/O,活動？,使用系統(tǒng)性能對象中的,I/O,計數(shù)器來得到所有的數(shù)據(jù),使用,Windows 2000中的新的進程,I/O,計數(shù)器來發(fā)現(xiàn)進程,使用,Filemon,(,www.,sysinternals,.com,),來發(fā)現(xiàn)哪個進程在訪問哪個文件,不要忘記正常的文件,I/O,就象頁面式,I/O（,由于緩存管理的設(shè)計）,注冊表活動,注

11、冊表應(yīng)該在一個穩(wěn)定的系統(tǒng)中保持,“,穩(wěn)定,”,例如，它不應(yīng)該是一個頻繁訪問的數(shù)據(jù)庫,運行,RegMon,(,www.,sysinternals,.com,),來確定您的注冊表（大多數(shù)情況下）是不活動的,小測驗（進程和線程）,NT,的調(diào)度單元是什么？,A:,線程,線程在運行中，但是卻沒有占用任何,CPU時間，為什么？,A:,當(dāng)時間片到來時它們不是當(dāng)前線程。,進程沙箱的尺寸是多大？,A:2 gigabytes,議事日程,工具概述,理解進程和線程活動,理解,CPU時間統(tǒng)計,理解系統(tǒng)進程,進程和系統(tǒng)崩潰,核心態(tài)對用戶態(tài)模式,一個處理器狀態(tài),控制內(nèi)存訪問,每一個內(nèi)存頁面都標(biāo)記著需要訪問時處理器的狀態(tài),保

12、護系統(tǒng)不受用戶侵害,保護用戶進程相互侵害,系統(tǒng)本身可以訪問自己,”,代碼區(qū)標(biāo)記,“,不可以在任何模式下寫,”,控制執(zhí)行特權(quán)指令的能力,一個,Windows NT抽象,Intel:Ring 0,Ring 3,相關(guān)的線程,線程可以從用戶態(tài)切換到核心態(tài)，而且反之亦然,保存的上下文的一部分和注冊表，等等。,不影響調(diào)度,計數(shù)器,:,“,特權(quán)時間,”,和,“,用戶時間,”,四級粒度：線程、進程、處理器和系統(tǒng),進入核心模式,Windows 2000,在下列三種情況下切換到核心態(tài)模式,1.,用戶態(tài)下的請求,通過系統(tǒng)服務(wù)調(diào)度機制,核心態(tài)代碼運行在請求線程的上下文中,2.,外部設(shè)備的中斷請求,Windows NT

13、,支持的中斷調(diào)度器喚醒中斷服務(wù)例程,ISR,運行在被中斷的線程的上下文中,(,所謂的,“,任意的線程上下文,”),ISR,經(jīng)常請求一個,“,DPC,例程,”,的執(zhí)行，它運行在核心態(tài)模式中,中斷處理時間不包括在被中斷線程的時間片內(nèi),3.,核心態(tài)模式系統(tǒng)線程,系統(tǒng)中的一些線程始終保持在核心態(tài)模式（大部分在,“,系統(tǒng),”,進程中）,調(diào)度的、優(yōu)先的等等，象任何其他線程,檢查進程,CPU時間,查看進程在核心態(tài)下的時間可以告訴您進程現(xiàn)在在做什么,100%,用戶時間：應(yīng)用程序占用,部分用戶時間、部分核心態(tài)時間：做系統(tǒng)調(diào)用,使用,qslice,.exe(,資源工具箱,),或者,PerfMon,中斷調(diào)度,中斷調(diào)

14、度例程,關(guān)閉中斷,記錄機器狀態(tài)(陷阱幀）來允許恢復(fù),比較屏蔽嗎并且降低中斷優(yōu)先級,尋找和調(diào)用合適的,ISR,打開中斷,恢復(fù)機器狀態(tài)（包括模式和中斷）,告訴設(shè)備停止中斷,審問設(shè)備狀態(tài)、啟動設(shè)備下一個操作，等等。,請求一個,DPC,返回調(diào)用者,中斷服務(wù)例程,中斷,!,用戶態(tài)或核心態(tài)代碼,核心態(tài)模式,!,注意，沒有線程或者進程 上下文,中斷優(yōu)先級,IRQL=,中斷請求優(yōu)先級,關(guān)于其他中斷的中斷優(yōu)先級,不同的中斷源有不同的,IRQL,與,IRQ,不同,在多處理器系統(tǒng)中每一個,CPU可以有不同的IRQL,低,APC,Dispatch/DPC,設(shè)備,1,.,.,.,設(shè)備,n,時鐘,內(nèi)中斷,電源故障,高,正

15、常的線程執(zhí)行,硬件中斷,可延遲軟件中斷,0,1,2,30,29,28,31,隊列首,DPC,對象,DPC,對象,DPC,對象,XydriverDpcRtn,(,DpcObj,DfrdCtx,SysArg1,SysArg2),/.,DfrdCtx,SysArg1,SysArg2,（,DPC）,延遲過程調(diào)用,“,工作請求,”,列表,每一個處理器一個隊列（但是處理器可以運行其他處理器的,DPC,）,隱式的通過請求時間來排列(,FIFO),用來從更高（設(shè)備）中斷優(yōu)先級到低優(yōu)先級（分配）的延遲過程調(diào)用,主要用于驅(qū)動程序,“,后中斷,”,功能,用于時間片結(jié)束和計數(shù)器到時,統(tǒng)計核心態(tài)模式時間,“處理器時間”

16、=處理器總的工作時間,(,等于經(jīng)過的時間-空閑時間,),“,處理器時間,”=“,用戶時間,”+“,特權(quán)時間,”,“,特權(quán)時間,”=,用于核心態(tài)模式的時間,“,特權(quán)時間,”,包括,:,中斷時間,DPC,時間,注意：中斷和,DPC,不包括在任何進程或線程的時間片內(nèi),Screen snapshot from:Programs|Administrative Tools|Performance Monitor,click on“+”button,or select Edit|Add to chart.,小測驗（時間統(tǒng)計）,如果系統(tǒng)運行速度降低，并且沒有進程在運行，這是怎么回事？,A:,中斷,在,PerfMon,中查看,interrupts/sec,議事日程,工具概述,理解進程和線程活動,理解,CPU時間統(tǒng)計,理解系統(tǒng)進程,進程,和,系統(tǒng)崩潰,進程創(chuàng)建層次結(jié)構(gòu),tlist,.exe(,資源工具箱中)可以顯示創(chuàng)建層次結(jié)構(gòu),(“,tlist,/t”),如果父進程是死的，進程左對齊,例如，如果創(chuàng)建者不在了，就不能看見創(chuàng)建者,例如，,explorer.exe,的父進程死了,(,它實際由,userinit,