Aby zdiagnozować przyczyny powolnego ładowania systemu Windows, istnieje szereg dość potężnych narzędzi i metod analizy dzienników zdarzeń, które pozwalają na szczegółowe debugowanie wszystkich etapów procesu uruchamiania systemu i uruchamiania usług (xperf / xbootmgr z Windows Performance Toolkit / Analyzer). Ale korzystanie z nich może powodować szereg trudności, szczególnie dla początkującego administratora systemu. W tym artykule pokażemy, jak używać Monitor procesu możesz w prosty i szybki sposób określić, które programy, usługi i sterowniki działają długo podczas uruchamiania systemu, zwiększając w ten sposób całkowity czas ładowania dla użytkownika.
Oczywiście wszyscy administratorzy systemu Windows powinni znać to narzędzie. Proces Monitoruj z zestawu narzędzi systemowych Sysinternals. Narzędzie Process Monitor umożliwia monitorowanie aktywności uruchomionych procesów, dostęp do systemu plików i rejestru w czasie rzeczywistym. Jedną z mało znanych funkcji Process Monitor jest możliwość włączenia trybu monitorowania procesów uruchomionych podczas uruchamiania systemu Windows.
Aby zdiagnozować fazę rozruchu, Process Monitor tworzy oddzielną usługę w kluczu rejestru HKLM \ SYSTEM \ CurrentControlSet \ Services. Ta usługa ładuje sterownik trybu rozruchu procmon23.sys, uruchamianie po uruchomieniu Winload.exe, który rejestruje aktywność wszystkich procesów wykonywanych podczas uruchamiania systemu i logowania użytkownika.
- Pobierz i rozpakuj archiwum z Proces Monitoruj (http://download.sysinternals.com/files/ProcessMonitor.zip)
- Uruchom jako plik administratora procmon.exe
- W menu Opcje wybierz element Włącz rejestrowanie rozruchu
- W wyświetlonym oknie wybierz opcję Generuj zdarzenia profilowania wątków -> Co sekundę. W tym trybie sterownik procmon będzie przechwytywał stan wszystkich procesów co sekundę.
- Uruchom ponownie komputer i poczekaj na pojawienie się pulpitu
- Sterownik procmon23.sys będzie rejestrował wszystkie zdarzenia, dopóki użytkownik nie uruchomi narzędzia Process Monitor. Następnie tryb rejestrowania rozruchu jest wyłączany.
- W oknie Monitora procesu zgadzamy się z propozycją zapisania zebranych danych w pliku.
Uwaga. Jeśli nie zatrzymasz Monitora procesu, tymczasowy plik dziennika% windir% \ procmon.pmb z czasem zajmie całe wolne miejsce na dysku systemowym. - Wybierz katalog, w którym chcesz zapisać plik i poczekaj na zapisanie. W moim przypadku w katalogu docelowym pojawiły się trzy pliki Bootlog .pml, Bootlog-1.pml i Bootlog-2.pml o łącznej wielkości 700 MB.
- Kliknij tytuł tabeli w oknie ProcMon, wybierz Wybierz Kolumny i włącz wyświetlanie kolumn Czas trwania
- Utwórz nowy filtr w menu Filtruj.
- Jako parametr filtru wskazujemy Czas trwania, stan więcej niż i wartość 10. Kliknij przycisk Dodaj i OK.
- Tak więc na liście procesów będą tylko te procesy, które zajęły więcej niż 10 sekund, aby ukończyć pewne operacje (wybrałem 10 sekund, aby przykład był bardziej przejrzysty).
- Możesz także użyć funkcji z menu, aby przeanalizować proces ładowania. Narzędzia -> Drzewo procesów, umożliwiając wyświetlanie wszystkich procesów w formie drzewa graficznego z informacją o rozpoczęciu, zakończeniu i czasie trwania procesu.
Uwaga. Jeśli nie zatrzymasz Monitora procesu, tymczasowy plik dziennika% windir% \ procmon.pmb z czasem zajmie całe wolne miejsce na dysku systemowym.
Pozostaje przeanalizować listę uzyskanych procesów (w razie potrzeby można dalej analizować problematyczny proces, włączając filtr według nazwy pliku wykonywalnego), skorelować procesy z usługami, programami i sterownikami oraz zoptymalizować system.
Z reguły analiza ta pomoże zidentyfikować procesy „hamujące”, które utknęły w systemie trojana (przede wszystkim należy przeanalizować procesy potomne Winlogon.exe), zdecydować, czy usunąć / zaktualizować problematyczne oprogramowanie lub sterownik urządzenia, wyłączyć niektóre usługi lub zmienić rodzaj ich uruchomienia (opóźnione uruchomienie lub ręczne na żądanie), usuń programy z uruchamiania. Najczęściej na tej liście pojawiają się programy antywirusowe i inne „ciężkie” oprogramowanie..
