За много лет использования Windows я привык к Диспетчеру задач. Оттуда я убил сотни приложений за плохое поведение. Там же смотрел, кто из них пожирает ресурсы. Пока я не начал работать с машинами, у которых сотни гигабайт памяти, а у приложений соответствующие запросы. В этой статье обсудим, почему Диспетчер задач плохо отслеживает память и что использовать взамен. Во-первых, о механизме выделения памяти в Windows.

tl;dr: Диспетчер задач скрывает информацию о подкачке (paged memory) и виртуальном пространстве процесса. Лучше используйте Process Explorer из комплекта Sysinternals.

Сказ о суровых российских инженерах.

1. С чего все началось…

Ангелы и демоны кружили надо мной
Рассекали тернии и Млечные Пути
Origa — Inner Universe

В одном, не очень отечественном САПР, есть возможность конвертировать чертежи сразу в PDF. Но то ли программисты не очень понимают, как их САПР используется, то ли просто забыли добавить возможность сохранения настроек. В итоге, САПР, при экспорте в PDF, всегда конвертирует только "текущий лист", если не забраться в параметры и принудительно не выбрать "Все листы". В нашем инженерном деле, документы из одного листа крайне редки, народ страдает и продолжает из раза в раз выкладывать, отправлять, генерировать и просто тратить процессорные мощности на однолистные PDF'ки. Томным, пятничным вечером, потягивая купажированный виски и покуривая сигару, я задумался — можно ли с этим что-нибудь сделать?

Рисунок 1. Окно настроек PDF.

О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с буфером обмена.



Информация из этого типа событий открывает новые возможности контроля за подозрительной активностью (а также новые уязвимости). Так, вы сможете понимать кто, откуда и что именно пытались скопировать. Под катом описание некоторых полей нового события и парочка юзкейсов.

Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.

Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.

Содержание:

• Колонки в главном окне
• Сервисы внутри svchost
• Суммарные графики активности, процесс с максимальной активностью
• Суммарные графики активности в трее, процесс с максимальной активностью
• Сетевые соединения процесса
• Потоки процесса, их активность, стек потока с загрузкой символов
• Информация по использованию памяти в системе
• Handles и DLL процесса
• Поиск handles и DLL

В 2006 году Microsoft купила компанию Sysinternals. Разработчики Марк Руссинович и Брюс Когсвелл написали большое количество полезных системных утилит для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

Сайт Sysinternals стал частью Microsoft Technet, утилиты по-прежнему доступны для загрузки здесь и здесь. Но до покупки компании, на сайте можно было скачать исходные коды программ, а теперь исходные коды недоступны.

Майкрософт утверждает, что исходный код был убран по причине того, что его доступность может вызвать проблемы с поддержкой других компонентов Windows.

Исходники программ Sysinternals демонстрировали такие возможности, как сокрытие информации в реестре, перехват и подключение API-функций для мониторинга файловой системы и другие интересные вещи. Зачастую в программах использовались недокументированные функции Native API, для выполнения действий, невозможных при использовании стандартного WinAPI.

К счастью, кто-то выложил на торренты зеркало сайта Sysinternals от 18 июля 2006 года (дата покупки компании), которое содержит не только страницы сайта, но и все утилиты и исходный код.

Ещё ссылки:

• Sysinternals Suite — все утилиты в одном архиве (без исходных кодов) на Microsoft Technet
• Блог Марка Руссиновича на русском языке.

Известный в узких кругах пользователей Windows, автор мегаполезных утилит Sysinternals Suite, Марк Руссинович написал художественный роман.
Называется «Zero Day».
В продажу книга выйдет в середине марта (Амазон пишет, что 15 марта).
Предзаказ можно оформить на специально созданном сайте www.zerodaythebook.com
Марк пишет, что книга будет интересна интересующимся компьютерной безопасностью любителям триллеров.

P.S. В какой блог переместить? (пишите в личку)

http://live.sysinternals.com/
На открывшейся странице Вы увидете прямые ссылки для скачки и последующего запуска программ.

Надеюсь, кому-нибудь это сократит время, когда придется разбираться с чужим компьютером.

Для тех, кто совсем не понял о чем я — описание системных утилит. На русском.

Дополнение от NikonSevast:
при наличие быстрого инета под Windows можно написать:
net use y: \\live.sysinternals.com\tools
y: надо заменить на любую свободную от примапленных дисков букву

Компания Microsoft начала бета-тестирование сервиса, который позволит прямо через браузер запускать средства диагностики Sysinternals. В этот комплект входит более 70 утилит, в том числе программа Process Explorer для изучения списка процессов, работающих на компьютере (это продвинутая версия стандартного Task Manager), а также Processor Monitor и RootKitRevealer для выявления руткитов. Раньше эти программы приходилось выискивать в интернете и специально скачивать, потому что они не входят в стандартный комплект поставки Windows.

Вчера специалисты Microsoft официально объявили о запуске бета-тестирования сайта Sysinternals Live. Там сейчас выложен весь комплект программ. Некотоыре браузеры (вроде Firefox) не могут запустить их мгновенно, а сначала обязательно должны сохранить файл. В то же время Internet Explorer сразу запускает файл на исполнение. Вызвать любую программу можно прямо из адресной строки командой

\\live.sysinternals.com\tools\toolname

где “toolname” соответствует названию программы.

Нужно сказать, что разработчик Sysinternals, компания Winternals Software, была приобретена в середине 2006 года, а сооснователь фирмы Марк Руссинович с тех пор работает в Microsoft.

Disk2vhd, новый шедевр от Марка Руссиновича — простая в использовании утилита, позволяющая создать образ загруженной, работающей системы в формате Virtual PC. Нужно всего лишь скачать и запустить программу, выбрать диск, на котором расположена ваша Windows и указать, где следует сохранить виртуальную машину. Поддерживается 32 и 64-bit Windows XP SP2 и новее.

Само приложение выглядит так:



А вот скриншот уже созданной и загруженной виртуальной машины:



Не стоит и говорить, насколько это приложение может оказаться полезным для целей бекапа или разнообразных экспериментов над системой и программами.

Страничка программы: technet.microsoft.com/en-us/sysinternals/ee656415.aspx

8 Июня вышла новая версия профессионального менеджера автозагрузки — Autoruns. Красивый номер 10 принёс долгожданную возможность настраивать не только работающую систему, но и редактировать автозагрузку выключенного Windows. Наконец-то можно загрузиться с LiveCD или подцепить диск к другому компьютеру и выкинуть вирусы из автозагрузки.

Давайте посмотрим как оно работает на практике…

Существуют эксперты, внесшие значительный вклад в историю развития IT, благодаря чему их имена стали буквально нарицательными. Питер Нортон, Джон Маккафи, Евгений Касперский… В этом ряду нельзя не упомянуть и Марка Руссиновича — известного программиста и писателя, о котором наверняка слышал каждый, кто работал с персональными компьютерами в эпоху Windows 9x/2000.