系统与进程活动.ppt

理解Windows 2000 ? 和 NT4系统和进程活动 演讲必备条件 这个演讲假设您理解以下基础知识： 操作系统概念的基础知识（虚拟内存、进程和多任务） 基本Windows NT和Windows 2000使用和管理 这是一个300级的讲座 今天您将学到以下知识 查看进程细节例如打开文件句柄、I/O活动、DLL使用和安全 操作系统帐户和应用程序CPU时间（包括中断） 在系统进程树中识别每一个系统进程 将Windows NT服务映射到正在运行该服务的进程上 将核心态运行的系统线程活动匹配到驱动程序或者拥有线程的OS组件 议事日程 工具概述 理解进程和线程活动 理解CPU时间统计 理解系统进程 进程崩溃 工具列表 议事日程 工具概述 理解进程和线程活动 理解CPU时间统计 理解系统进程 进程和系统崩溃 进程和线程 什么是进程？ 代表了运行程序的一个实例 每一个进程有一个私有的内存地址空间 什么是线程？ 进程内的一个执行上下文 进程内的所有线程共享相同的进程地址空间 每一个进程启动时带有一个线程 运行程序的“主”函数 可以在同一个进程中创建其他的线程 可以创建额外的进程 32-位虚拟地址空间 2 GB的进程空间 进程地址空间不可以被其他进程直接访问 2 GB的系统范围空间 在这个空间中加载操作系统，并且存在于每一个进程地址空间 “操作系统”没有进程（尽管有一些进程服务于操作系统，但是它们或多或少都是在“后台”运行） Windows 2000作业对象 新的内核对象定义了一组相关进程 CreateJobObject/OpenJobObject 可以指定作业范围的属性、资源分配额和安全限制 资源分配额：总的和目前CPU时间、总的和活动进程、每一个进程和作业的CPU时间、最小和最大的工作集合 属性：CPU相似性、优先级、调度级别 安全限制：没有管理员令牌，只有受限令牌、指定令牌、过滤令牌，不能访问作业外面的窗口，不能读/写剪贴板 查看进程信息 许多重叠的工具！ 他们都显示进程和线程信息的不同部分 但是有一些工具可以显示其他工具不能显示的内容 运行的映象的名字可能不能说明它是什么 发现EXE在磁盘的位置 PS.VBS (或者 pslist.exe)可以显示绝对路径 如果系统速度降低，第一个问题是：系统正在运行什么进程？ 一个快速的方法：运行任务管理器，按CPU使用率排序 任务管理器 启动： Ctrl+Shift+Esc；或者Ctrl+Alt+Del；或者在任务栏的空白处右击 与其他进程显示实用程序重叠的部分 除了Win 16进程信息，只有这里可以看（在进程选项卡上单击选项-显示16-位任务） 应用程序选项卡：最顶层可见的窗口列表 只有线程拥有窗口（在窗口上右击并选择“查看进程” ） 进程查看器 支持工具中的Pviewer.exe 显示线程详细信息 每一个线程的起始地址 每一个线程的CPU时间 可以显示远程进程列表 但是不能杀死远程进程 使用exec.vbs或者资源工具箱中的rkill 使用TLIST /T查看进程层次结构 理解进程的父亲可以帮助确认进程的来源和作用 tlist /t 显示继承关系树 如果父进程不是活动的，进程左对齐 例如，不能查看创建者 例如： explorer.exe的父进程是死 的 (它实际是由 userinit.exe启动的，然后父进程退出） Windows 2000 可以显示父进程标识号 任务管理器有一个“结束进程树” 在进程上右击 查看打开句柄 句柄泄露可以作为系统内存泄露显示！ 任务管理器可以显示总的进程句柄 资源工具箱“Oh”工具（第一次运行可以设置一个NT全局标记并需要重新启动—查看资源工具箱中的gflags.exe ） (使用一个设备驱动程序)的handleex (图形用户界面)或 nthandle (控制台) 查看DLL使用 资源工具箱中的Depends.exe 显示从EXE到DLL的静态链接 也可以“构造”进程并且显示动态DLL加载 查看DLL使用 要诊断 DLL 冲突，您需要知道哪一个 DLLs被加载以及从哪加载的 tlist 进程名或者 tlist 进程标识号 列出了 DLL,但是不包括路径 的listdlls 可以显示全部路径 也显示 .EXE的全路径 –对于跟踪进程的实质是十分重要的！ I/O活动 如何隔离系统I/O活动？ 使用系统性能对象中的I/O计数器来得到所有的数据 使用Windows 2000中的新的进程I/O计数器来发现进程 使用 Filemon () 来发现哪个进程在访问哪个文件 不要忘记正常的文件I/O就象页面式I/O（由于缓存管理的设计） 注册表活动 注册表应该