Delen via


[Nieuwsbrievenarchief ^] [< Volume 2, Getal 2] [Volume 2, Getal 4 >]

The Systems Internals Newsletter Volume 2, Number 3

http://www.sysinternals.com
Copyright © 2000 Mark Russinovich


14 juni 2000 - In dit probleem:

  1. HOOFDARTIKEL

  2. WAT IS ER NIEUW IN SYSINTERNALS

    • Regmon v4.25
    • ListDlls v2.22
    • TDImon v1.0
    • AutoRuns v1.1
    • LDMDump v1.0
    • Interne kolommen van april/juni
  3. INFORMATIE OVER INTERNE GEGEVENS

    • Windows NT Build History
    • Windows NT/2000 Timer Resolution
    • Het toetsenbord opnieuw toewijzen
    • Toewijzing van veilig systeemgeheugen
    • Verborgen logboekregistratie van windows 98-bestandssysteem
    • WinDev '00 West
  4. WAT KOMT ER AAN DE DAG?

    • "Beveiligde" Windows 98-registersleutels

SPONSOR: WINTERNALS SOFTWARE

De Systems Internals Newsletter wordt gesponsord door Winternals Software, op het web op http://www.winternals.com. Winternals Software is de toonaangevende ontwikkelaar en provider van geavanceerde systeemhulpprogramma's voor Windows NT/2K. Winternals Software-producten omvatten FAT32 voor Windows NT 4.0, ERD Commander Professional Edition (geavanceerde opstartschijfmogelijkheid voor Windows NT) en Remote Recover.

Met de zojuist uitgebrachte TCPView Pro kunt u TCP/IP-activiteiten bewaken op Windows NT 4.0-, Windows 2000- en Windows 95/98-systemen. In tegenstelling tot ingebouwde TCP/IP-bewakingshulpprogramma's die worden geleverd met Windows (zoals netstat), laat TCPView Pro zien welk proces is gekoppeld aan elk TCP/IP-adres, zodat u eenvoudig kunt bepalen welke toepassing verantwoordelijk is voor specifieke verbindingen en activiteiten. TCPView Pro biedt een dynamische weergave en een statische weergave. In de statische weergave ziet u momenteel geopende lokale IP-adressen, het proces dat is gekoppeld aan elk eindpunt en het externe IP-adres waarmee een eindpunt is verbonden. Met de dynamische weergave, die niet beschikbaar is met een ander hulpprogramma, kunt u TCP/IP-activiteit in realtime bekijken.

Prijsinformatie ophalen en een proefversie van 14 dagen downloaden op http://www.winternals.com/products/tcpview.shtml.

Hallo allemaal,

Welkom bij de nieuwsbrief Systems Internals. De nieuwsbrief heeft momenteel 22.000 abonnees.

Dave Salomon en ik zijn in de laatste stadia van het verpakken van "Inside Windows 2000, 3rd Ed.", wat betekent dat het boek half augustus beschikbaar is in plaats van eind juli (het zou geen Microsoft-product zijn zonder een slip in de verzenddatum). Nu het boek in definitieve vorm is, kan ik je een overzicht geven van wat erin zit. Ten eerste heeft het ongeveer 50% meer inhoud dan de vorige editie en bevat vier gloednieuwe hoofdstukken. Dit is de inhoudsopgave:

  1. Inleiding
  2. Architectuur
  3. Systeemmechanismen
  4. Opstarten en afsluiten
  5. Beheermechanismen
  6. Processen en threads
  7. Geheugenbeheer
  8. Beveiliging
  9. I/O-systeem
  10. Storage
  11. Cachebeheer
  12. Bestandssystemen
  13. Netwerken

Net als de 2e editie staat het boek vol met experimenten die de concepten laten zien die we beschrijven. Het boek bevat ook een cd met een kopie van de hele SysInternals-website, plus een aantal hulpprogramma's die we in experimenten gebruiken.

Twee hulpmiddelen die ik specifiek voor het boek heb geschreven, zijn zeer goed ontvangen door de boekrevisoren. De eerste heet LiveKD en hiermee kunt u een van de Windows 2000-kernelfoutopsporingsprogramma's (i386kd, kd, WinDbg) uitvoeren op een live systeem. Dit betekent dat u LiveKd start, waarbij u opgeeft welk foutopsporingsprogramma u wilt hosten en vervolgens het foutopsporingsprogramma invoert en alle foutopsporingsprogramma-opdrachten beschikbaar hebt die u zou doen als u een crashdump zou opsporen. Vrijwel alle op foutopsporingsprogramma's gebaseerde experimenten in het boek kunnen worden uitgevoerd met Behulp van LiveKD, wat betekent dat u geen tweede systeem of een seriële kabel nodig hebt om ze uit te voeren.

Het tweede hulpprogramma is een extensie voor prestatiemeter waarmee u de livewaarden van een kernelvariabele kunt bekijken. Als u bijvoorbeeld de hoeveelheid niet-paginaloze pool wilt bewaken die wordt gebruikt met PerfMon, selecteert u de variabele MmAllocatedNonPagedPool.

Ik laat het je weten in de nieuwsbrief wanneer het boek uit is, maar je kunt nu vooraf ordenen via de Amazon.com link op www.sysinternals.com/links.htm. Zoals gebruikelijk kunt u de nieuwsbrief doorgeven aan vrienden die u denkt dat het interessant zou zijn.

Hartelijk dank!

-Merken

WAT IS ER NIEUW IN INTERNE SYSTEMEN

REGMON V4.25

Deze nieuwste update van het Regmon Registry-bewakingsprogramma bevat ondersteuning voor het nieuwe KeyNameInformation querytype van Windows 2000 voor de ZwEnumerateKey en ZwQuerykey systeemservices. Deze functionaliteit wordt niet geëxporteerd voor gebruik door Win32-toepassingen, maar wordt gebruikt door de registerfuncties in ADVAPI32 als onderdeel van het systeemgebruik van registratieregisters per gebruiker.

Er zijn twee manieren waarop Win32-toepassingen in Windows 2000 het onderdeel Klasseregistratie van het register kunnen openen: ze kunnen opgeven of ze kunnen opgeven HKEY_CLASS_ROOT HKLM\Software\Classes. De eerste retourneert een ingang naar de klassesleutel per gebruiker in combinatie met de globale klassesleutel en de tweede retourneert een ingang alleen naar de algemene informatie. Met de functie ADVAPI32 Register kan alleen worden bepaald welke gebruiker heeft opgegeven door de onderliggende naam van de registersleutelgreep die door een gebruiker is doorgegeven, vandaar de vereiste voor het nieuwe querytype. Zie de SDK-documentatie voor RegOpenKeyEx meer informatie.

Download Regmon v4.25 op http:www.sysinternals.com/regmon.htm.

LISTDLLS V2.22

Wanneer een ontwikkelaar een DLL (Dynamic Link Library) maakt, vertellen ze de linker het 'basisadres' van het DLL-bestand. Dit is het adres waarvoor de linker relatieve adresgegevens maakt in het dll-afbeeldingsbestand. Als een DLL-bestand wordt geladen op een ander adres dan het basisadres, moet het laadprogramma alle relatieve adressen in de geladen DLL-installatiekopieën herstellen om rekening te houden met het verschil.

Deze fixups, of herlocaties, kunnen de opstarttijd van een toepassing verhogen, dus ontwikkelaars willen uiteraard voorkomen dat herlocatie plaatsvindt. Het is echter vervelend om de uitvoer van een programma zoals ListDLLs te bekijken, waarbij de laadadressen worden vergeleken met het basisadres. Daarom heb ik versie 2.22 van ListDLLs een nieuwe optie gemaakt, -rwaarin de DLL's zijn verplaatst in de uitvoer.

ListDLLs v2.22 downloaden op http://www.sysinternals.com/listdlls.htm.

TDIMON V1.0

TDImon is de nieuwste versie van de krachtige SysInternals Monitoring Tools Suite, waarin u TCP- en UDP-activiteit op uw systeem ziet terwijl deze plaatsvindt. Het hulpprogramma neemt de naam op van het feit dat het TCP- en UDP-activiteit bewaakt op de interface naar de TCP/IP-stack en die interface wordt de Transport Driver Interface (TDI) genoemd. Alle TCP- en UDP-activiteit van de toepassing en het stuurprogramma moeten deze interface doorlopen. Dit betekent dat er geen TCP- of UDP-activiteit door TDImon niet is gedetecteerd.

TDIMon deelt dezelfde GUI als zijn neven, Filemon, Regmon, Portmon en DebugView, en net als die andere bewakingshulpprogramma's die u ziet de namen van processen die activiteit, tijdstempels uitvoeren en filteren en markeren. Dit maakt TDIMon een ideaal hulpprogramma voor netwerkproblemen voor beheerders en tcp/IP-foutopsporingsprogramma's voor toepassingsontwikkelaars. TDImon werkt in Windows 95, 98, NT 4 en Windows 2000.

TDImon v1.0 downloaden op http://www.sysinternals.com/tdimon.htm.

LDMDUMP V1.0

Windows 2000 bevat een nieuwe partitioneringsindeling met de naam zachte partitionering die enkele van de nadelen van de MS-DOS-stijl partitionering overkomt die alle Windows-besturingssystemen tot nu toe hebben gebruikt. Een onderdeel met de naam Logical Disk Manager (LDM) beheert volumes op schijven die zijn geformatteerd met zachte partities, die dynamische schijven worden genoemd (schijven met MS-DOS-stijl partitionering worden standaardschijven genoemd). Naast robuuster te zijn vanwege de partitiespiegeling die ze implementeren, hebben dynamische schijven het voordeel dat u volumes met meerdere partities kunt maken zonder het systeem opnieuw op te starten zodat ze worden herkend en gekoppeld door bestandssysteemstuurprogramma's.

Microsoft heeft de indeling van de LDM-partitioneringsdatabase niet gedocumenteerd, omdat ze de technologie van Veritas hebben gelicentieerd, die dezelfde database in hun UNIX-volumebeheersoftware heeft gebruikt, kunnen licentieovereenkomsten verhinderen dat Microsoft deze documenteert. Er kan uiteindelijk een Win32 IOCTL-interface zijn voor de LDM, maar ondertussen heb ik de indeling bedacht en een hulpprogramma met de naam LDMDump geschreven dat u kunt gebruiken om te peeren in de database van een dynamische schijf. LDMDump presenteert ongeveer dezelfde informatie als het DmDiag-hulpprogramma van de Windows 2000 Resource Kit, maar LDMDump presenteert de informatie op een veel schonere manier. Ik bied momenteel geen broncode aan voor dit hulpprogramma, maar als u geïnteresseerd bent in licenties voor uw eigen toepassingen, neem dan contact met mij op.

Lees meer over de LDM-database in mijn Windows 2000 Magazine "Inside Storage, Deel 2" kolom op http://www.sysinternals.com/publ.htm.

LDMDump v1.0 downloaden op http://www.sysinternals.com/ldmdump.htm.

AUTORUNS V1.1

Mogelijk bent u al bekend met AutoRuns, die we in de afgelopen twee maanden hebben uitgebracht. AutoRuns toont de instellingen voor automatisch uitvoeren voor elke locatie in het register en . INI-bestanden waarin dergelijke informatie is opgegeven (of dus we dachten). Gebruikersfeedback heeft ons op een aantal locaties laten zien dat AutoRuns ontbreekt en deze nieuwste versie toont ze nu.

AutoRuns v1.1 downloaden op http://www.sysinternals.com/misc.htm.

KOLOMMEN INTERNE GEGEVENS VAN JUNI/JULI

Hebt u zich ooit afgevraagd hoe Win32-services verschillen van standaard Win32-toepassingen? Of misschien ben je benieuwd wat de NT-opstart- of afsluitvolgorde zo lang maakt. Ik beantwoord deze vragen en meer in mijn tweedelige serie juni/juli over Win32-services in Windows 2000 Magazine.

In deel 1 neem ik je mee in de structuur van een Win32-service, waarin wordt uitgelegd hoe ze opdrachten van clienttoepassingen accepteren. Vervolgens begin ik met het beschrijven van de Service Control Manager (SCM), die verantwoordelijk is voor het beheren van Win32-services, waaronder hun opstarten en afsluiten. In deel 2 voltooi ik mijn beschrijving van het opstartproces van de service, dat plaatsvindt tijdens het opstarten van het systeem en vertel vervolgens hoe SCM services afsluit. Ik kijk ook naar verbeteringen die Microsoft heeft aangebracht in de SCM in Windows 2000 en neem je mee in het hulpprogramma SrvAny Resource Kit.

Abonnees van Windows 2000 Magazine kunnen de kolommen online lezen op http://www.sysinternals.com/publ.htm.

INFORMATIE OVER INTERNE GEGEVENS

WINDOWS NT BUILD HISTORY

Zoals u hebt geleerd uit eerdere nieuwsbrieven, wordt het buildnummer voor Windows NT (nu Windows 2000) elke dag verhoogd wanneer het buildteam een nieuwe build genereert met de codecontrole van de dag. Met mijn oude bèta- en releasekandidaat-CD's, evenals de hulp van anderen die Windows NT langer gebruiken dan ik heb, heb ik een lijst samengesteld met de buildnummers die overeenkomen met openbare releases (bèta's, releasekandidaten en volledige releases). Houd er rekening mee dat de datums de datum van de build zijn, niet de releasedatum voor de build. De definitieve build van Win2K, 2195, is bijvoorbeeld gemaakt in december, maar is in februari uitgebracht voor het publiek.

Build Vrijgeven Datum
297 PDC 1992
340 NT 3.1 Beta 1 Oktober 1992
397 NT 3.1 Beta 2 Maart 1993
511 NT 3.1 Juli 1993
611 NT 3.5 Beta 1 April 1994
683 NT 3.5 Beta 2 Juni 1994
756 NT 3.5 RC 1 Augustus 1994
807 NT 3.5 September 1994
944 NT 3.51 Beta 1 Februari 1995
1057 NT 3.51 Mei 1995
1234 NT 4.0 Beta 1 Januari 1996
1314 NT 4.0 Beta 2 Mei 1996
1381 NT 4.0 Juli 1996
1671 NT 5.0 Beta 1 September 1997
1877 NT 5.0 Beta 2 September 1998
1946 Win2K RC0 van Bèta 3 December 1998
2000.3 Win2K RC1 van Bèta 3 Maart 1999
2031 Win2K Beta 3 April 1999
2072 Win2K RC1 Juli 1999
2128 Win2K RC2 September 1999
2183 Win2K RC3 November 1999
2195 Win2K December 1999

WINDOWS NT/2000 TIMER RESOLUTIE

Hoewel Windows NT/2000 services biedt, waaronder QueryPerformanceCounter, waarmee u tijden kunt meten tot de resolutie van de teller van de Pentium-cyclus, hebben de intervaltijdservices een iets lagere resolutie. In feite is de standaard timerresolutie hetzelfde als het systeemklokinterval, dat 10 ms is op uniprocessor x86-systemen (meestal 7,5 ms of 15 ms op SMP-systemen). Toepassingen kunnen de multimediatimerfuncties in de gebruikersruimte gebruiken om de resolutie te verhogen tot 1 ms, maar stuurprogramma's zijn in de kou als ze hogere resoluties willen, totdat Windows 2000, dat wil weten.

Windows 2000 introduceert een nieuwe DDK-functie, ExSetTimerResolutiondie stuurprogramma's kunnen gebruiken om het interval van de systeemtimer te verlagen tot 1 ms. Wil je weten wat er gebeurt onder de motorkap van de multimediatimers en ExSetTimerResolution? Zie "Inside Windows NT High Resolution Timers" at http://www.sysinternals.com/timer.htm.

VEILIGE SYSTEEMGEHEUGENTOEWIJZING

Hoewel we het onderwerp van nieuwe Windows 2000-kernelfuncties voor stuurprogrammaontwikkelaars hebben besproken, is het de moeite waard om het te MmGetSystemAddressForMdlSafevermelden. In eerdere versies van Windows NT moest een stuurprogrammaontwikkelaar die een systeemadresruimteaanwijzer voor de buffer of het fysieke geheugen van een gebruiker wilde ophalen, een MDL (Memory Descriptor List) doorgegeven die de fysieke buffer MmGetSystemAddressForMdlaanschreef.

Het maken van een virtuele toewijzing in de adresruimte van het systeem maakt gebruik van een resource die een systeempaginatabelvermeldingen (systeem pte) wordt genoemd, waarbij één systeem PTE vereist is voor elke fysieke pagina die is toegewezen. Helaas zijn systeem PTE's beperkte resources en kunnen uitlopen als stuurprogramma's grote hoeveelheden geheugen toewijzen. Wat gebeurt er wanneer MmGetSystemAddressForMdl de systeem-PTE's die het nodig heeft niet kunnen krijgen? U zou denken dat het iets nuttigs zou doen, zoals een retournering NULL als het toegewezen virtuele adres. Maar nee, het geeft het systeem op en blauw schermt. Gedrag zoals dat slecht weerspiegelt bij het stuurprogramma dat de aanvraag indient.

Windows 2000 doet wat MmGetSystemAddressForMdl er moet gebeuren: het retourneert een NULL als er onvoldoende systeem PTE's MmGetSystemAddressForMdlSafe zijn om de toewijzing voor de buffer te maken. Gebruik deze functie om een gênante dump te voorkomen die naar uw stuurprogramma wijst. Als u een stuurprogramma hebt dat wordt uitgevoerd op NT 4 en Windows 2000, is het de moeite waard om twee verschillende versies uit te brengen, één voor elk platform, zodat u kunt profiteren van deze nieuwe API wanneer u Windows 2000 gebruikt.

HET TOETSENBORD OPNIEUW TOEWIJZEN

Als u zoals ik bent, bent u begonnen met een UNIX-toetsenbord waar een Ctrl-toets aanwezig was op het toetsenbord op de positie die op pc-toetsenborden is bezet door de caps-lock-toets. Om mijn typsnelheid te verbeteren en meer te weten te komen over de ontwikkeling van apparaatstuurprogramma's in Windows 9x en Windows NT, was een van mijn eerste stuurprogrammaprojecten op beide besturingssystemen om een opnieuw toe te passen toetsenbord te implementeren. U vindt de Windows 9x-versie op http://www.sysinternals.com/c2cap95.htm en de Windows NT/2K-versie op http://www.sysinternals.com/ctrl2cap.htm.

In Windows NT/2K is er een alternatief voor het gebruik van een toetsenbordfilterstuurprogramma. Door het opnieuw toewijzen van scancode-vermeldingen in het register te definiëren, kunt u het gedrag van het toetsenbord volledig opnieuw programmeren. In feite bevat de Windows 2000 Resource Kit een hulpprogramma met de naam RemapKey waarmee u sleutels kunt wisselen met behulp van een grafische weergave van het toetsenbord. In dit artikel op de website van Microsoft wordt gesproken over de toetsenbordherhaling en hoe het werkt: http://www.microsoft.com/HWDEV/input/W2kscan-map.htm. Houd er rekening mee dat het hulpprogramma ook werkt op NT 4.

Dus stel dat u niet beschikt over de Windows 2000 Resource Kit en liever niet het geld voor het zou uitgeven (ik raad aan dat u dat doet, het is vol met allerlei handige hulpprogramma's en documentatie). Als dat het geval is, kunt u het toetsenbord handmatig opnieuw toewijzen. Het Microsoft-artikel waarnaar ik net heb verwezen, vertelt u de indeling van de registersleutel waar het toetsenbordstuurprogramma zoekt naar codes voor opnieuw toewijzen (HKLM\ SYSTEM\CurrentControlSet\Control\Keyboard Layout\Scancode Map), en dit artikel, ook beschikbaar van Microsoft, vertelt u de scancodes die overeenkomen met sleutels: http://www.microsoft.com/hwdev/download/desinit/scancode.zip.

Als u alleen caps-lock en control wilt verwisselen (houd er rekening mee dat mijn toetsenbordfilters helemaal weggaan met de caps-lock-toets omdat ik deze nooit gebruik), kunt u de volgende tekst kopiëren (niet inclusief de scheidingstekens voor '----') naar een bestand (geef het een naam zoals swapcaps.reg) en dubbelklik op het bestand. De instellingen worden geïmporteerd in het register en nadat het opnieuw opstarten is doorgevoerd.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,03,00,00,00,3a,00,1d,00,1d,00,3a,00,\
  00,00,00,00

Als u de toewijzing ongedaan wilt maken, verwijdert u de waarde scancodetoewijzing uit het register en start u opnieuw op.

VERBORGEN LOGBOEKREGISTRATIE VAN WINDOWS 98-BESTANDSSYSTEEM

Hebt u ooit door de systeemmap van Windows 98 ges browsen en hebt u een submap met de naam \Windows\Applogopgemerkt? In deze map vindt u waarschijnlijk bestanden met namen die overeenkomen met die van toepassingen die u onlangs hebt uitgevoerd en extensies zoals . LGC en . LGD. Open een van de bestanden in Kladblok en u ziet duidelijk een tracering van bestandssysteemactiviteiten, compleet met bestandsnamen, offsets en oproepen openen en sluiten. Wordt er een virus gegenereerd dat deze logboeken genereert of is het een geheim hulpprogramma dat is opgenomen in Windows 98 dat rapporteert aan Microsoft uw gebruikspatronen voor toepassingen? Geen van beide (als het ook zo was, zou je hierover lezen in de vakpers, niet in de SysInternals nieuwsbrief). Het onderdeel van de functie 'laadt uw meest gebruikte toepassingen tot 36 procent sneller' van Windows 98.

Vanwege de Taskmon-vermelding in HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindows 98 wordt een serviceprogramma gestart tijdens het opstarten van Taskmon. Taskmon laadt een VxD met de naam FioLog (\Windows\System\FioLog.Vxd) om een bestandssysteemactiviteithook te installeren, zodat het bestand gebruik kan zien tijdens het starten van de toepassing. Taskmon bewaakt de activiteiten van het bestandssysteem van alle toepassingen die worden uitgevoerd terwijl ze beginnen, met uitzondering van de toepassingen die worden vermeld in HKLM\Software\Microsoft\Windows\CurrentVersion\Taskmon\ExcludeApps. FioLog registreert de opstartbestandssysteemactiviteit van de toepassing in de map Applog. De logboekbestanden die worden gemaakt, beginnen met de extensie. LGA. Het is niet duidelijk hoe het bepaalt wanneer een logboek moet worden verwijderd en wanneer een nieuwe moet worden gemaakt voor een toepassing met een nieuwe extensie, waarbij de laatste letter is verhoogd. Hier volgt een gedeelte van een voorbeeldlogboekbestand:

{
o da3034d0 d000 "C:\WINDOWS\NOTEPAD.EXE"
R da3034d0 0 40
R da3034d0 80 f8
R da3034d0 80 1c0
R da3034d0 7000 1000
R da3034d0 6000 e00
o da2b2610 156000 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R da2b2610 83000 1000
o da2b2f40 45110 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R da2b2f40 3c000 1000
R da2b2f40 3c000 1000
...

Regels zijn onderverdeeld in vier velden: de eerste is de bewerkingscode, waar o open is, R gelezen is en C wordt gesloten. U ziet W geen (voor schrijven) omdat fioLog alleen leesbewerkingen registreert tijdens het opstarten van de toepassing, zodat het starten van toepassingen kan worden geoptimaliseerd. Het tweede veld is de interne bestandspointer. De derde en vierde velden moeten worden geïnterpreteerd volgens de bewerkingscode van de regel. Als de bewerkingscode is, is R het derde veld de bestandsverschil en het vierde veld de lengte van de leesbewerking. Als de bewerkingscode echter is, wordt o het derde veld geopende vlaggen en is de vierde de naam van het bestand dat wordt geopend. In het voorbeeld wordt het openen van notepad.exe de bestandspointer da3034d0 geretourneerd, die u kunt zien worden gebruikt in volgende leesbewerkingen.

Wanneer u een defragmentatiebewerking start, voert het programma Defrag.Exe een programma met de naam CvtApLog (\Windows\System\Cvtaplog.exe) uit om de logboekbestanden te verwerken. CvtApLog maakt gebruik van een DLL met de naam ClusAlgo.Dll (\Windows\System\Clusalgo.dll) om een optimale clusterplaatsing te achterhalen op basis van de logboekbestanden die worden gelezen en registreert deze informatie in bestanden met de naam \Windows\Applog\Applog.d* die het defragmentatieproces begeleiden. CvtApLog genereert ook een bestand met de naam \Windows\Applog\Optlog.txt waarmee de optimalisaties voor het opstarten van de toepassing worden samengevat. Dit zijn de gedeeltelijke inhoud van een Optlog.txt-bestand:

Program Launch Optimization Log - Created Tue Jun 13 11:42:52 2000

Programs Eligible for Optimization:
Ord Flag ProgName Uses   LastExecDate Program Path                           
1        RUNDLL32 65     2000.06.13   C:\WINDOWS\RUNDLL32.EXE                
2        ATIPTAAB 31     2000.06.13   C:\WINDOWS\SYSTEM\ATIPTAAB.EXE         
3        NOTEPAD  22     2000.06.13   C:\WINDOWS\NOTEPAD.EXE                 
4        PING     9      2000.06.10   C:\WINDOWS\PING.EXE                    
…             
17       IEXPLORE 2      2000.06.01   C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

Programs Ineligible for Optimization:
Ord Flag ProgName Uses   LastExecDate Program Path                           
18  S    GREP     5      2000.06.13   C:\BIN\GREP.EXE                        
19  S    STRINGS  12     2000.06.13   C:\BIN\STRINGS.EXE                     
20  S    ATI2CWXX 31     2000.06.13   C:\WINDOWS\SYSTEM\ATI2CWXX.EXE         

Control Parameters:
Use app profile        = Yes
Minimum log size    = 1000
Maximum no use days = 90
Maximum apps        = 50

Flags for Ineligible Programs:
S = Log size smaller than <Minimum log size>
U = Program not used for more than <Maximum no use days>
P = No profile for program
E = Associated program no longer exists
D = Log deleted (may be combined with one of the above)

De mogelijkheid van Windows 98 om de onderdelen van bestanden die tijdens het starten van een toepassing worden gebruikt, te verplaatsen naar een aaneengesloten gebied op schijf, is technologie die Microsoft van Intel heeft gelicentieerd (om dit te zien, voer Defrag.exe handmatig uit en u de tekst 'Intel Application Launch Accelerator').

WINDEV '00 WEST

WinDev '00 East vond vorige week plaats voor een recordbezoek van 660 mensen (dat is alles wat het hotel kon houden). De sprekers die aanwezig zijn op de conferentie vertegenwoordigen de grote namen op elk gebied van Windows-ontwikkeling, waaronder iedereen van de COM-god Don Box aan bestuurdersexperts Jamie Hanrahan en Brian Catlin. Mijn sessies bevatten "Windows 2000 Internals", "Advanced Drivers", "Windows NT/2000 File System Drivers" en "Cluster Server".

Als je het spijt dat je miste, heb je geluk omdat je een tweede kans krijgt. WinDev '00 West wordt gehouden in Santa Clara, CA vanaf 11-15 september, en alle sprekers zullen er zijn. Ik geef dezelfde sessies, en zoals bij WinDev East, geeft gratis SysInternals t-shirts weg die mijn vragen beantwoorden of bijzonder inzichtelijke vragen stellen. Meer informatie vindt u op http://www.butrain.com/windev/west/default.htm.

WAT KOMT ER AAN DE DAG?

"BEVEILIGDE" WINDOWS 98-REGISTERSLEUTELS

Hoewel het Windows 98-register geen ondersteuning biedt voor beveiliging, heeft Microsoft een mechanisme geïmplementeerd voor het definiëren van verborgen registersleutels. Welke toepassing maakt gebruik van deze verborgen technologie? Internet Explorer, natuurlijk. De volgende keer dat ik u vertel welke sleutels IE verbergt en hoe Windows 98 deze implementeert.


Bedankt voor het lezen van de systems Internals Newsletter.

Gepubliceerd woensdag 14 juni 2000 17:08 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 2, Getal 2] [Volume 2, Getal 4 >]