返回
windows系统和进程活动

windows系统和进程活动

ID:39994676

大小:1.51 MB

页数:49页

时间:2019-07-16

windows系统和进程活动_第1页
windows系统和进程活动_第2页
windows系统和进程活动_第3页
windows系统和进程活动_第4页
windows系统和进程活动_第5页
资源描述:

《windows系统和进程活动》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、TNQ400-02©1994-2000DavidA.SolomonAndJamieE.Hanrahan理解Windows2000®和NT4系统和进程活动演讲必备条件这个演讲假设您理解以下基础知识:操作系统概念的基础知识(虚拟内存、进程和多任务)基本WindowsNT和Windows2000使用和管理这是一个300级的讲座今天您将学到以下知识查看进程细节例如打开文件句柄、I/O活动、DLL使用和安全操作系统帐户和应用程序CPU时间(包括中断)在系统进程树中识别每一个系统进程将WindowsNT服务映射到正在运行该服务的进程上将核心态运行的系统线程活动匹配到驱动程

2、序或者拥有线程的OS组件议事日程工具概述理解进程和线程活动理解CPU时间统计理解系统进程进程崩溃工具可执行文件相关工具包性能监视SysmonWindows2000(PerfmoninNT4)注册表编辑器RegEdt32Windows2000进程查看器pviewerWindows2000支持工具任务列表tlistWindows2000支持工具依赖关系浏览dependsWindows2000支持工具打开句柄ohWindows2000服务器资源工具箱QuickSliceqsliceWindows2000服务器资源工具箱句柄查看器handleexwww.sysinte

3、rnals.com列表DLLlistdllswww.sysinternals.com文件监视器filemonwww.sysinternals.com注册表监视器regmonwww.sysinternals.com进程状态pstatNT4资源工具箱或平台SDK工具列表议事日程工具概述理解进程和线程活动理解CPU时间统计理解系统进程进程和系统崩溃进程地址空间系统地址空间线程线程线程进程和线程什么是进程?代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程?进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个线程运行程

4、序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程.EXE代码全局每个线程的用户模式堆栈进程堆栈.DLL代码000000007FFFFFFFExec,Kernel,HAL,驱动程序,每个线程的核心态模式堆栈,Win32K.Sys文件系统缓存页面池非页面池FFFFFFFF80000000进程页面表超级空间C000000032-位虚拟地址空间2GB的进程空间进程地址空间不可以被其他进程直接访问2GB的系统范围空间在这个空间中加载操作系统,并且存在于每一个进程地址空间“操作系统”没有进程(尽管有一些进程服务于操作系统,但是它们或多或少都是在“后台”运行

5、)每个进程单独的地址空间,可以在用户态或核心态访问系统范围,只可以在核心态下访问每个进程的空间,只能在核心态下访问Windows2000作业对象新的内核对象定义了一组相关进程CreateJobObject/OpenJobObject可以指定作业范围的属性、资源分配额和安全限制资源分配额:总的和目前CPU时间、总的和活动进程、每一个进程和作业的CPU时间、最小和最大的工作集合属性:CPU相似性、优先级、调度级别安全限制:没有管理员令牌,只有受限令牌、指定令牌、过滤令牌,不能访问作业外面的窗口,不能读/写剪贴板查看进程信息许多重叠的工具!他们都显示进程和线程信息的

6、不同部分但是有一些工具可以显示其他工具不能显示的内容运行的映象的名字可能不能说明它是什么发现EXE在磁盘的位置PS.VBS(或者pslist.exe)可以显示绝对路径如果系统速度降低,第一个问题是:系统正在运行什么进程?一个快速的方法:运行任务管理器,按CPU使用率排序任务管理器启动:Ctrl+Shift+Esc;或者Ctrl+Alt+Del;或者在任务栏的空白处右击与其他进程显示实用程序重叠的部分除了Win16进程信息,只有这里可以看(在进程选项卡上单击选项->显示16-位任务)应用程序选项卡:最顶层可见的窗口列表只有线程拥有窗口(在窗口上右击并选择“查看进

7、程”)进程选项卡:进程列表可以使用查看->选项栏数在标题栏上单击按该列排序在进程名字上右击来改变进程的优先级、结束进程树(在Windows2000新增加的功能),或者(在MP上)CPU分配性能选项卡:NT性能计数器的子集进程查看器支持工具中的Pviewer.exe显示线程详细信息每一个线程的起始地址每一个线程的CPU时间可以显示远程进程列表但是不能杀死远程进程使用exec.vbs或者资源工具箱中的rkill使用TLIST/T查看进程层次结构理解进程的父亲可以帮助确认进程的来源和作用tlist/t显示继承关系树如果父进程不是活动的,进程左对齐例如,不能查看创建者

8、例如:explorer.exe的父进程

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。