《深入研究 Windows 系統服務 -- 效能調校與故障排除》由会员分享,可在线阅读,更多相关《深入研究 Windows 系統服務 -- 效能調校與故障排除(161页珍藏版)》请在金锄头文库上搜索。
1、深入研究 Windows 系統服務 效能調校與故障排除曹祖聖 台灣微軟資深講師MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT講師簡介How am I ? 姓名:曹祖聖姓名:曹祖聖 Jimy Cao Jimy Cao 郵件:郵件:jimyjimyc caotop-.twaotop-.tw 證照:證照:MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT 現任:現任: 台灣微軟資深講師台灣微軟資深講師 巨匠電腦講師巨匠電腦
2、講師 聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長 光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問 行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問 凌天科技有限公司技術顧問凌天科技有限公司技術顧問 專業電腦圖書作家專業電腦圖書作家 電腦雜誌專欄作家電腦雜誌專欄作家2 2講師簡介How am I ? 經歷:經歷: 華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師 巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師 微軟微軟 TechEdTechEd 2000 2000、2001200
3、1、20022002、20032003、2004 2004 研討會講師研討會講師 (8 (8 場場) ) 微軟微軟 PDC 2002 PDC 2002 研討會講師研討會講師 (2 (2 場場) ) 微軟微軟 Windows 2000 Windows 2000 實力札根研討會講師實力札根研討會講師 (2 (2 場場) ) 微軟微軟 DevConDevCon 專業專業 .NET .NET 開發技術研討會講師開發技術研討會講師 (8 (8 場場) ) 微軟微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會中文版上市發表會 ( (全省巡迴全省巡迴 4 4
4、 場場) ) 微軟微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會中文版上市發表會 ( (全省巡迴全省巡迴 4 4 場場) ) 微軟微軟 Office 2003 Office 2003 中文版上市發表會中文版上市發表會 ( (全省巡迴全省巡迴 4 4 場場) ) 微軟微軟 2003 ISV Training2003 ISV Training、Smart Client ISV Training Smart Client ISV Training 講師講師 Windows XP Service Pack Windows XP Service P
5、ack 應用程式相容性研討會講師應用程式相容性研討會講師 (10 (10 場場) ) 第一屆認證博覽會講師、巨匠精英展望會講師第一屆認證博覽會講師、巨匠精英展望會講師 ( (全省巡迴全省巡迴 3 3 場場) ) 東海、成功、淡江東海、成功、淡江 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師 大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問3 3大綱大綱l系統服務的功能介紹l系統服務依存性l系統服務啟動順序修改l系統服務資源競爭問題處理l系統服務啟動失敗時的自動修復l如何使用 Recovery Console
6、 修復系統服務l運用 WMI script 進行系統服務監控與管理4 4Windows 系統服務lWindows 系統服務由 3 個部分組成:服務應用程式 : 服務程式本身,包含一個或多個服 務服務控制管理器 : 維護著 Registry 中的服務資料服務控制程式 : 控制服務應用程式的模組,是控制 服 務應用程式與服務管理器之間的橋樑5 5Windows 系統服務lWindows 系統服務的啟動方式:自動 Windows 啟動時自動載入服務手動 Windows 啟動時不自動載入服務, 在需要的時候 手動開啟停用 Windows 啟動的時候不自動載入服務, 在需要的 時候選擇手動或者自動方式開
7、啟服務,並重新啟 動電腦完成服務的配置6 6Windows 系統服務l機碼設定HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services每一個服務都有一個 Start 數值,該數值內容所記錄 的就是服務該在何時該被載入 Start 值01234 說明開機啟動 系統服務 自動載入手動停用7 7服務啟動帳戶與系統安全l服務啟動帳戶的選擇:本機系統帳戶Local System服務帳戶例如: NETWORK SERVICE使用者帳戶例如: Administratorl服務啟動帳戶必須具備有以服務方式登入 (logon as service)的權力l注意緩衝
8、區溢位的安全問題 !8 8什麼是緩衝區溢位 ?l攻擊者傳送超過緩衝 區大小且包含惡意程式 碼的訊息l訊息中的惡意程式碼 剛好覆蓋掉原本要執行 的程式碼l如果這個服務啟動帳 戶具有足夠權限,惡意 程式碼就具有同等權限 ,可以進行下一步攻擊 與破壞預設的 資料緩衝區堆疊惡意程式碼 執行訊息進入呼叫端資料暫存區函數參數函數返回位址區域指標例外處理區超過緩衝區的資料 (惡意程式碼)9 9服務啟動失敗的處理服務啟動失敗的處理1010Windows 系統啟動流程 (一)BIOS 載入 MBR 並執行, MBR 會尋找開機磁區1開機磁區載入並執行作業 系統的第一個檔案 NTLDR2NTLDR 將系統切換到
9、32 位 元保護模式3NTLDR 讀取 boot.ini 顯示開 機選單4NTLDR 將系統切換回 16 位 元真實模式,然後執行 偵測硬體5NTLDR 讀取 NTDETECT 偵測 到的硬體資訊6NTLDR 將系統切換到 32 位 元保護模式7NTLDR 啟動 NTOSKRNL.EXE81111Windows Server 架構Executive Services APIExecutive Services APII/OI/O SystemSystemSecuritySecurity MonitorMonitorProcesses/Processes/ ThreadsThreadsObje
10、ctObject ServicesServicesMemoryMemory MgmtMgmtWin32Win32 GDIGDIExec.Exec. RTLRTLDeviceDevice DriversDrivers Hardware Abstraction Layer (HAL)Hardware Abstraction Layer (HAL)KernelKernelObject ManagementObject ManagementFileFile SystemsSystemsI/OI/O DevicesDevicesDMA/BusDMA/Bus ControlControlCacheCach
11、e ControlControlClocks/Clocks/ TimersTimersPrivilegedPrivileged ArchitectureArchitectureInterruptInterrupt DispatchDispatchRegistryRegistryUserUserKernelKernelSystemSystem ProcessesProcessesServicesServicesUser AppsUser AppsEnvironmentEnvironment SubsystemsSubsystemsSubsystem DLLSubsystem DLLInterfa
12、ce DLLInterface DLLSession MgrSession Mgr WinLogonWinLogonReplicatorReplicator AlerterAlerter Event LogEvent LogWin32Win32 POSIXPOSIX OS/2OS/21212Executive Services APIExecutive Services APII/OI/O SystemSystemSecuritySecurity MonitorMonitorProcesses/Processes/ ThreadsThreadsObjectObject ServicesServ
13、icesMemoryMemory MgmtMgmtWin32Win32 GDIGDIExec.Exec. RTLRTLDeviceDevice DriversDrivers Hardware Abstraction Layer (HAL)Hardware Abstraction Layer (HAL)KernelKernelObject ManagementObject ManagementFileFile SystemsSystemsI/OI/O DevicesDevicesDMA/BusDMA/Bus ControlControlCacheCache ControlControlClock
14、s/Clocks/ TimersTimersPrivilegedPrivileged ArchitectureArchitectureInterruptInterrupt DispatchDispatchWindows Server 架構UserUserKernelKernelSystemSystem ProcessesProcessesServicesServicesUser AppsUser AppsEnvironmentEnvironment SubsystemsSubsystemsSubsystem DLLSubsystem DLLInterface DLLInterface DLLS
15、ession MgrSession Mgr WinLogonWinLogonReplicatorReplicator AlerterAlerter Event LogEvent LogWin32Win32 POSIXPOSIX OS/2OS/2NTOSKRNL.EXENTOSKRNL.EXE1313Windows 系統啟動流程 (二)l基本的系統啟動過程smss.exeSession Manager 系統第一個建立的行程 負責啟動 csrss.exe 與 winlogon.exe csrss.exeWin32 子系統winlogon.exe登入行程: 啟動 services.exe 顯示登入畫
16、面,當使用者登入時, 執行 userinit.exe services.exe服務控制器,負責啟動/停止系統服務, 大部份的系統服務都是由 svchost.exe 提 供1414Windows 系統啟動流程 (二)l基本的系統啟動過程lsass.exeLocal Security Authentication (LSA) Server , 管理 IPSec Policy 以及啟動 ISAKMP/Oakley (IKE) 、 IPSec 驅動程式、HTTP SSL、 Net Logon、。(系統服務) svchost.exe包含很多系統服務 userinit.exe負責啟動 explorer.exeexplorer.exe桌面internat.exe輸入法1515工作管理員工作管理員1616Alerter 服務l名稱:Alerter (svchost.exe -k Lo
