[笔记]深入解析Windows操作系统《一》概念和工具(二)

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: [笔记]深入解析Windows操作系统《一》概念和工具(二)

虚拟内存

内核模式和用户模式

终端服务及多个会话

终端服务:指的是在单个系统中,Windows对于多个可交互用户会话的支持。利用Windows的终端服务,一个远程用户可以在另一台机器上建立一个会话,并且登录进去,在该服务器上运行应用程序。

服务器把图形用户界面(以及其他可配置的资源,比如音频和剪贴板)传送到客户机,客户机把用户的输入传回服务器。

(与X窗口系统类似,Windows允许在一个服务器系统上运行单独的应用程序,其显示部分远程传送到客户机,而非将整个桌面远程到客户机)。

概念

Session0:第一个会话被认为是服务会话,或者Session0,它包含了宿纳系统的服务的进程。

Session1: 在机器的物理控制台上的第一个登录会话为一号会话,而其他的会话可以通过远程桌面连接程序(Mstsc…exe)来建立,或者通过使用快速用户切换(后文会介绍)来建立。

远程桌面连接和快速用户切换

Windows的客户机版本允许单个远程用户连接到机器上,但如果有人已经在控制台上登录了,则工作站会被锁住(也就是说,一个人可以用本地方式或远程方式使用Windows?客户机系统,但不能同时以这两种方式来使用该系统)。包括Windows Media Center在内的Windows版本允许一个交互会话和多达四个Windows Media Center Extender会话。

Windows服务器系统支持两个并发的远程连接(这是为了方便远程管理,例如,有些管理工具要求登录到被管理的机器中才可以使用),以及两个以上的远程会话(只需经过适当的授权许可,并且系统被配置为终端服务器)。

所有的Windows客户机版本都支持通过一种被称为快速用户切换(fast user switching)的特性,在本地创建多个会话。当用户选择断开其会话,而不是注销其登录时(例如,单击“开始”菜单,从“关机”子菜单中选择“切换用户”,或者在按住Windowst键的同时按下L键,然后单击“切换用户”按钮),当前会话(即在该会话中运行的进程,以及描述该会话的所有会话范围的数据结构)仍然保留在系统中,而系统返回到主登录屏幕。如果一个新的用户登录进来,则新建一个会话。

内核对象及句柄

安全性

注册表

Unicode

如果使用了Unicode编码 还会乱码 其实多半因为系统缺少对应语言包导致的。

1.3 挖掘Windows内部机理

主要使用的工具:

工具 映像名 来源
Startup Programs Viewer AUTORUNS Sysinternals
Access Check ACCESSCHK Sysinternals
Dependency Walker DEPENDS www.dependencywalker.com
Global Flags GFLAGS Windows 调试工具
Handle Viewer HANDLE Sysinternals
Kernel debuggers WINDBG,KD Windows调试工具,Windows SDK
Object Viewer WINOBJ Sysinternals
性能监视器(Performance Monitor) PERFMON.MSC Windows内置工具
Pool Monitor POOLMON Windows Driver Kit
Process Explorer 下载地址 PROCEXP Sysinternals
Process Monitor PROCMON Sysinternals
Task(Process)List TLIST Windows调试工具
任务管理器(Task Manager) TASKMGR Windows内置工具
DebugView 下载地址 Sysinternals

性能监视器

在本书中,我们经常会提到性能监视器,你可以在“开始”菜单的“管理工具”文件夹中找到该工具(也可以通过“控制面板”找到它);特别地,我们将主要关注性能监视器和资源监视器。性能监视器有三项功能:系统监视、查看性能计数器日志,以及设置报警(利用一组数据采集器,这些数据采集器也包含性能计数器日志,以及跟踪数据和配置数据)。为简化起见,我们在提到性能监视器的时候,实际是指该工具内部的系统监视功能。

性能监视器所提供的有关操作系统当前运行状况的信息,比任何其他单个工具所能提供的信息都要多得多。它针对各种各样的对象提供了数百个基本的和扩展的计数器。本书中所讲述的每一个主要话题, 都附有一张相关的Windows性能计数器表格。

性能监视器为每个计数器提供了一份简要描述。想要查看这些描述信息,请在“添加计数器(Add Counters) ”窗口中选择计数器, 然后选中“显示描述(Show Description) ”复选框。

尽管我们在本书中所做的低层系统监视功能都可以通过性能监视器来完成,但是,Windows还包含了一个实用工具――资源监视器(可以通过开始菜单来访问, 或者通过任务管理器的“性能”选项卡访问到) , 它可以显示四种主要的系统资源:CPU、磁盘、网络和内存。

在基本的状态下,关于这些资源所显示的信息与你在任务管理器中看到的相仿。然而,资源监视器还为这些资源提供了更多的显示区域,以扩展到更多的信息。

展开以后,CPU选项卡显示了有关每个进程CPU使用率的信息,如同任务管理器一样。然而,它加入了显示平均CPU使用率的一栏,这可以让你更好地知道哪些进程最为活跃。CPU选项卡还包含了一个单独的关于Windows服务及其关联的CPU使用率和平均CPU使用率的显示区。如同ProcessExplorer一样,选择某个进程(单击其相应的复选框)将显示出该进程所打开的有名称句柄的列表,以及被加载到该进程地址空间中的模块(比如DLL)的列表。“搜索句柄(Search Handles)”框可用来搜索哪些进程已经打开了某个指定名称的资源。

“内存”部分显示了与任务管理器所展示的同样多的信息,但它针对整个系统进行了组织。物理内存条状图将当前的物理内存,按照“为硬件保留的内存”、“正在使用”、“已修改”、“备用”和“可用”进行组织。关于这些术语的确切含义,参见本书下册第10章。

另一方面,“磁盘”部分显示了基于每个文件的I/O信息,这样可以很容易地识别出当前系统中哪些文件被访问最多、被写得最多,或者被读得最多。这些结果可以被进一步按照进程来过滤。

“网络”部分显示了活动的网络连接、哪些进程拥有这些网络连接,以及在这些连接上传输了多少数据。利用这些信息,有可能看到通过其他途径很难检测到的后台网络活动。而且,有关在当前系统中活动的TCP连接的信息也显示出来了,它们按进程组织,诸如远程的和本地的端口与地址、包延迟之类的数据都显示在其中。最后,正在监听的端口也按进程显示出来了,这使得管理员可以看到哪些服务(或应用程序)当前正在指定的端口上等待连接。针对每个端口和进程的协议和防火墙策略也显示在其中。

注意,通过编写程序可以访问所有的Windows性能计数器。第4章“HKEY PERFORMANCE_DATA”一节简要介绍了通过WindowsAPI来获得性能计数器这种做法所涉及的一些组件。

内核调试

内核调试意味着检查内核的内部数据结构,以及/或者跟踪内核中的函数。这是一条很有用的探查Windows内部机理的途径,因为你可以显示那些通过其他任何工具都无法得到的内部系统信息,并且对于内核内部的代码流有一个更加清晰的认识。

在介绍各种调试内核的方法前,我们先来看一组在执行任何内核调试时都需要的文件。

内核调试所需要的符号(PDB)

符号文件包含了函数和变量的名称,以及数据结构的布局和格式。它们是由链接器产生的,在调试会话中被调试器用来引用和显示这些名称。这些名称信息通常并不存储在二进制映像文件中,因为在执行代码的时候并不需要用到它们。这意味着,二进制映像文件更加小巧,也更加快速。然而这也意味着,在调试的时候,你必须确保在一个调试会话中,调试器能够访问到与当前引用的映像文件相关联的符号文件。

要使用任何一个内核调试工具来检查Windows内核的内部数据结构(比如进程列表、线程块、已加载的驱动程序列表、内存使用信息,等等),你必须至少得到了内核映像Ntoskrnl.exe 的正确符号文件(第2章“总体架构”一节介绍了有关这个文件的更多信息)。符号表文件必须与这些符号表所在的映像文件的版本完全匹配。例如,如果你安装了Windows的一个更新内核的服务补丁(Service Pack)或者热补丁(HotFix),那么,你必须获得匹配的、更新过的符号文件。

为Windows的各种版本下载并安装符号是有可能做到的,但是,热补丁的更新符号则并不总是可以获得。要想获得当前调试所需符号的正确版本,最容易的办法是,利用Microsoft的按需符号服务器,只需在调试器中用一种特殊的语法来指定符号路径即可。例如,下面的符号路径将使得调试工具从该Internet符号服务器上加载所需要的符号,并且在本地的C:lsymbols文件夹中维护一份副本:

srvc:\symbolshttp://msdl.microsoft.com/download/symbols

有关如何使用符号服务器的更详细的指令,请参考调试工具帮助文件或者Web页面http://msdn.microsoft.com/en-us/windows/hardware/gg462988.aspx

windows调试工具(WinDBG)

Windows调试工具(Debugging Tools for Windows)包含了本书中用于挖掘Windows内部机理的高级调试工具。最新的版本也被包含在Windows软件开发工具(SDK)中,作为其一部分。这些工具既可以用于调试用户模式的进程,也可以调试内核(参见下面的辅助内容)。

注 Windows调试工具的版本更新非常频繁,其发布独立于Windows操作系统的版本,所以请时常检查最新的版本。

用户模式的调试

实验:显示内核数据结构的类型信息

liveKd工具

LiveKd是Sysinternals出品的一个免费工具,可用于使用前面刚刚介绍的标准Microsoft内核调试器来检查正在运行的系统,而无须按调试模式引导系统。当需要在一台并非按调试模式引导的机器上进行内核级故障排除时,这种方法可能会非常有用。有些问题可能难以确定地重现,打开调试选项以后再重新引导机器可能无法让错误重现。

可以像运行WinDbg或者Kd那样运行LiveKd.LiveKd会把指定的所有命令行选项传递给你所选择的调试器。在默认情况下,LiveKd运行命令行内核调试器(Kd).要想让它运行WinDbg,请指定-w开关。要想查看有关LiveKd开关的帮助文件,请指定-?开关。

LiveKd将模拟的崩溃转储文件展示给调试器,所以,在LiveKd中可以执行任何可用于崩溃转储的操作。因为LiveKd依赖于物理内存来支持模拟的崩溃转储,所以内核调试器有可能会运行到这样一种状态:有些数据结构正处于被系统修改的过程中,因而是不一致的。每当调试器被启动起来时,它都会获得当前系统状态的一个全新视图。如果你想要刷新系统快照,可以退出调试器(用g命令),LiveKd将问你是否要再次启动起来。如果调试器进入一个打印

Windows软件开发工具(Windows SDK)

Windows软件开发工具(SDK)可通过MSDN订阅程序获得,也可以从msdn.microsoft.com 免费下载。除调试工具外,它还包含了编译和链接Windows应用程序所必需的文档、C头文件和库文件。(虽然Microsoft Visual C++也附带了这些头文件的一份副本,但是,Windows SDK 中包含的头文件版本总是符合Windows操作系统的最新版本,而VisualC++附带的头文件可能是老的版本,只符合Visual C++刚刚发布时的系统版本)。从考察内部机理的角度来看,Windows SDK中令人感兴趣的项目包括Windows API头文件(\Program Files\Microsoft SDKs\Windowslv7.0A\Include)。其中有些工具的源代码也包含在Windows SDK和MSDN Library的示例代码中。

Windows驱动程序开发工具(Windows Driver Kit)

Windows驱动程序开发工具(WDK,Windows Driver Kit)也可以通过MSDN订阅程序获得。如同Windows SDK一样,它也可以免费下载。Windows驱动程序开发工具的文档包含在MSDN Library中。

虽然WDK针对的是设备驱动程序开发人员,但它也是Windows内部信息的一个丰富来源。

例如,虽然本书下册第8章描述了1/0系统架构、驱动程序模型,以及基本的设备驱动程序数据结构,但是它并没有详细地描述各个内核支持函数。WDK文档包含了所有用于设备驱动程序的Windows内核支持函数和各种机制的详细说明,而且有两种形式:教程和参考资料。

WDK中除了包含文档以外,还包含了相应的头文件(特别是ntddk.h、ntifs.h和wdm.h),这些头文件定义了关键的内部数据结构和常量,以及许多内部系统例程的接口。在用内核调试器来挖掘Windows内部数据结构时,这些文件非常有用,因为尽管本书中给出了这些数据结构的一般性布局形式和内容,但是域(field)一级的详细描述(比如大小和数据类型)并没有给出。然而,在WDK中,许多数据结构(比如对象分发器的头、等待块、事件、突变体(mutant)、信号量,等等)都有完整的描述。

所以,如果你想在阅读本书的基础上,进一步钻研1/O系统和驱动程序模型,可以阅读WDK 的文档(特别是Kernel-Mode Driver Architecture Design Guide和Kernel-Mode Driver Reference)你也可以找到另外两本很有用的参考书: Walter Oney著的Programming the Microsoft Windows Driver Model, 2nd Edition (Microsoft Press, 2002),以及Penny Orwick和Guy Smith 合著的Developing Drivers with the Windows Driver Foundation (Microsoft Press, 2007).

Sysinternals工具

本书中的许多实验用到了一些可从Sysinternals下载的免费软件工具。这些工具中的绝大部分是由本书的作者之一Mark Russinovich编写的。最为流行的工具包括Process Explorer和Process Monitor。请注意,这些工具中有许多要安装和执行内核模式设备驱动程序,因此需要(提升至)管理员权限;若它们运行在标准的(非提升的)用户账户下,则只有很有限的功能和输出。

由于Sysinternals工具的更新很频繁,所以,尽可能确保使用了这些工具的最新版本。若想获得有关工具更新的通知,可以订阅(follow)Sysinternals站点博客(此博客有RSS源)。

关于这些工具的说明、如何使用这些工具,以及使用这些工具来解决问题的实例,请参考Mark Russinovich 和Aaron Margosis 合著的Windows Sysinternals Administrator's Reference (Microsoft Press,2011)。

有关这些工具的问题和讨论,请访问Sysinternals的论坛。

perfview

解析etw事件文件的工具

下载地址 csdn 资源中

总结

相关文章
|
19天前
|
存储 物联网 调度
操作系统的心脏:内核深度解析
在数字世界的构建中,操作系统扮演着基石的角色,而其核心—内核,则是这一复杂系统的灵魂。本文将深入探讨操作系统内核的工作原理,揭示它是如何管理硬件资源、运行程序以及提供系统服务的。通过理解内核的结构和功能,我们可以更好地把握计算机系统的运作机制,进而优化和创新我们的技术实践。
|
29天前
|
设计模式 算法 安全
实时操作系统(RTOS)深度解析及Java实现初探
【10月更文挑战第22天】实时操作系统(RTOS,Real-Time Operating System)是一种能够在严格的时间限制内响应外部事件并处理任务的操作系统。它以其高效、高速、可靠的特点,广泛应用于工业自动化、航空航天、医疗设备、交通控制等领域。本文将深入浅出地介绍RTOS的相关概念、底层原理、作用与功能,并探讨在Java中实现实时系统的方法。
62 1
|
8天前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
43 5
|
12天前
|
存储 人工智能 安全
操作系统的心脏——内核深度解析
【10月更文挑战第29天】 本文深入探讨了操作系统的核心组件——内核,包括其定义、功能、架构以及在现代计算中的重要性。通过对比不同操作系统内核的设计哲学和技术实现,揭示了内核如何影响系统性能、稳定性和安全性。此外,文章还讨论了未来内核技术的潜在发展方向,为读者提供了一个全面了解内核工作原理的平台。
|
10天前
|
存储 消息中间件 算法
深入探索操作系统的心脏——内核机制解析
本文旨在揭示操作系统核心——内核的工作原理,通过剖析其关键组件与机制,为读者提供一个清晰的内核结构图景。不同于常规摘要的概述性内容,本文摘要将直接聚焦于内核的核心概念、主要功能以及其在系统管理中扮演的角色,旨在激发读者对操作系统深层次运作原理的兴趣与理解。
|
22天前
|
存储 Unix Linux
哪些工具可以烧录树莓派的操作系统镜像
除了常见的烧录工具,树莓派操作系统镜像还可以通过以下工具烧录: 1. **Etcher**:树莓派官方推荐的图形界面工具,支持多操作系统,使用简单,具备严格的设备验证和校验机制。 2. **dd 命令**:适用于 Linux 和类 Unix 系统,功能强大但需谨慎使用,适合熟悉命令行的用户。 3. **BalenaEtcher**:与 Etcher 类似,跨平台且操作简单,确保烧录过程的准确性和安全性。 初学者建议使用 Etcher 或 BalenaEtcher,熟悉命令行的用户可以选择 dd 命令。
|
21天前
|
算法 Java 数据库连接
Java连接池技术,从基础概念出发,解析了连接池的工作原理及其重要性
本文详细介绍了Java连接池技术,从基础概念出发,解析了连接池的工作原理及其重要性。连接池通过复用数据库连接,显著提升了应用的性能和稳定性。文章还展示了使用HikariCP连接池的示例代码,帮助读者更好地理解和应用这一技术。
32 1
|
23天前
|
消息中间件 存储 负载均衡
Apache Kafka核心概念解析:生产者、消费者与Broker
【10月更文挑战第24天】在数字化转型的大潮中,数据的实时处理能力成为了企业竞争力的重要组成部分。Apache Kafka 作为一款高性能的消息队列系统,在这一领域占据了重要地位。通过使用 Kafka,企业可以构建出高效的数据管道,实现数据的快速传输和处理。今天,我将从个人的角度出发,深入解析 Kafka 的三大核心组件——生产者、消费者与 Broker,希望能够帮助大家建立起对 Kafka 内部机制的基本理解。
53 2
|
25天前
|
安全 算法 Unix
深入浅出操作系统:从基础概念到实践应用
【10月更文挑战第22天】本文旨在以浅显易懂的语言,为读者揭开操作系统的神秘面纱。我们将从操作系统的基本概念出发,逐步深入其核心功能与设计哲学,并通过具体代码示例,展示操作系统如何在实际中发挥作用。无论你是计算机科学的学生,还是对技术有浓厚兴趣的爱好者,这篇文章都将为你提供一次轻松愉快的操作系统之旅。
36 4
|
14天前
|
开发工具 Android开发 数据安全/隐私保护
探索移动应用的世界:从开发到操作系统的全面解析
【10月更文挑战第33天】在数字化时代,移动应用已成为我们日常生活中不可或缺的一部分。本文将深入探讨移动应用的开发过程,包括编程语言、开发工具和框架的选择,以及如何构建用户友好的界面。同时,我们还将分析移动操作系统的核心功能和安全性,以帮助读者更好地理解这些应用程序是如何在各种设备上运行的。无论你是开发者还是普通用户,这篇文章都将为你揭示移动应用背后的奥秘。

热门文章

最新文章

推荐镜像

更多
下一篇
无影云桌面