» Process Hacker

boi1eI
KLASS

Ладно, понятно. Я не могу произвольно менять образы ОС на сервере - винда у меня работает в VirtualBox под UNIX. Есть определённая техполитика в конторе и основные ОС у нас BSD UNIX, а винда уже и с ресепшена улетела в астрал. PC-BSD с гостевым входом чтобы дров никто не наломал достаточно.

Цитата:

а винда уже и с ресепшена улетела в астрал

... и улыбка расплылась на лице спящего чиновника государя...

Кстати, а загрузка ЦП так и должна отличатся? в диспетчере задач, а так же в процесс лассо загрузка ЦП всегда одинакова. а вот в процесс хацкер она всегда почти 20%

или я как то не так всё понимаю??

KLASS

Нужен мне на работе этот набор глюков!

BigBlue

Заметил, попытаюсь понять почему возникает разница?

ГИПОТЕЗА:

Возможно что из-за не учёта времени работы вызываемых системных модулей - TaskManager, System Explorer читают данные из WMI, а РЕ напрямую из таблиц ядра через Native API. Причина может быть в этом.

Victor_VG, кто тогда показывает правильно?
очень уж большой разброс в %

BigBlue

Думаю что РН ибо он читает данные из таблиц планировщика задач, а к примеру SE как я поглядел игнорирует время которое тратится ОС на обслуживание задачи, и его счёт совпадает со встроенным показометром. Вероятно источник один и тот же, и данные там видимо отфильтрованы - исходники и того и того закрыты, но судя по другим WMI средствам мониторинга ОС это предположение вероятно близко к истине.

Victor_VG, то есть исправлять это не нужно?
хочется быть уверенным что всё работает как положено. для собственного успокоения. =)

BigBlue

Пока не отвечу. Смотреть и думать надо.

Всем привет!

Есть некоторый процесс. надо посмотреть, сколько реальной физической памяти и сколько вирутальной он занимает, а также нагрузку на процессор. Знающие люди посоветовали воспользоваться Process Hacker.

Подскажите плиз, действительно ли он может показать эти данные? И если может, то каких колонках их надо смотреть? Я скачала и запустила программу, но здесь слишком много всяких колонок, просо глаза разбегаются, и все такое разноцветно, как на шоу современной моды Заранее спасибки!

Any_utka

Да, может. Загрузку ЦП смотрите по колонке CPU, физическая память - Private bytes, виртуальную - Virtual Size. Некоторые колонки по умолчанию не выводятся и их надо включить ПКМ по меню с именами колонок, Choice Columns... выбрать в списке слева нужные (по одной) - Show > и перетащить на нужное место в списке. И так для всех, которые вам нужны. Это способ номер один - настройка главного окна будет постоянной, способ номер два (быстрый, но одноразовый) - Enter на имени процесса, вкладка Statistics, например как на фрагменте:



KLASS
boi1eI
wvxwxvw
2 all testers

Да, вот ещё - dmex просил чтобы при сбоях вы присылали дамп или стек вызовов:

Цитата:

dmex

I need crash dumps or stack traces....

. Дамп в принципе должен создаваться при любом сбое в подкаталоге C:\Users\%USERNAME%\AppData\Local\CrashDumps == %USERPROFILE%\Local Settings\CrashDumps или на ХР его можно вытащить через вызов DrWtsn32, при панике ядра (BSoD) в %WINDIR%\MiniDump, ну а стек можно вытащить если поменять настройки тестовой и рабочей копий сняв флажок [] Alow Only One instance в обеих копиях и использовав рабочую копию с установленным драйвером KProcessHacker для просмотра стека вызовов сбойной - Enter на имени процесса, Threads - Enter на каждом треде - видим вкладку Stack, Copy, пишем в список в формате Process :: Tread №1 (ThID №1) :: стек вызовов:: ... :: Tread №n (ThID №n) :: стек вызовов .

Это поможет быстрее найти и устранить ошибки.

Victor_VG
[more=Глянь]:: Tread №1 (ThID №4836):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
4, ntoskrnl.exe!_misaligned_access+0x7c
5, ntoskrnl.exe!KeIsAttachedProcess+0x9d1
6, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
7, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
8, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
9, ntoskrnl.exe!NtWaitForSingleObject+0xb2
10, ntoskrnl.exe!setjmpex+0x34a3
11, ntdll.dll!ZwWaitForSingleObject+0xa
12, ProcessHacker.exe!PhInitializeProviderThread+0x266
13, ProcessHacker.exe+0x11f4
14, kernel32.dll!BaseThreadInitThunk+0x22
15, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №2 (ThID №4592):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
4, ntoskrnl.exe!NtWaitForSingleObject+0xb2
5, ntoskrnl.exe!setjmpex+0x34a3
6, ntdll.dll!ZwWaitForSingleObject+0xa
7, ProcessHacker.exe!PhInitializeProviderThread+0x266
8, ProcessHacker.exe+0x11f4
9, kernel32.dll!BaseThreadInitThunk+0x22
10, ntdll.dll!RtlUserThreadStart+0x34[/more], а то щаз накопирую. И указанный тобой каталог при ошибке, у мну не создается

KLASS

Годится, а каталог при создании профиля создаёт сама ОС, в семёрке этот, в восьмёрке не смотрел ибо под руки не попадалась.

Victor_VG

Цитата:

а каталог при создании профиля создаёт сама ОС

Переведи не понял, какой каталог... у мну ваще по всему диску C: нет каталога CrashDumps, т.е. программа у мну не установлена в систему. Работаю с прогой из выложенного тобой архива, в котором лежит второй архив processhacker-2.36-bin.zip
[more=Список]:: Tread №1 (ThID №4836):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
4, ntoskrnl.exe!_misaligned_access+0x7c
5, ntoskrnl.exe!KeIsAttachedProcess+0x9d1
6, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
7, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
8, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
9, ntoskrnl.exe!NtWaitForSingleObject+0xb2
10, ntoskrnl.exe!setjmpex+0x34a3
11, ntdll.dll!ZwWaitForSingleObject+0xa
12, ProcessHacker.exe!PhInitializeProviderThread+0x266
13, ProcessHacker.exe+0x11f4
14, kernel32.dll!BaseThreadInitThunk+0x22
15, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №2 (ThID №4592):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
4, ntoskrnl.exe!NtWaitForSingleObject+0xb2
5, ntoskrnl.exe!setjmpex+0x34a3
6, ntdll.dll!ZwWaitForSingleObject+0xa
7, ProcessHacker.exe!PhInitializeProviderThread+0x266
8, ProcessHacker.exe+0x11f4
9, kernel32.dll!BaseThreadInitThunk+0x22
10, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №3 (ThID №4480):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForMultipleObjects+0x403
4, ntoskrnl.exe!ObWaitForMultipleObjects+0x289
5, ntoskrnl.exe!ExInitializeRundownProtectionCacheAware+0x59a
6, ntoskrnl.exe!setjmpex+0x34a3
7, ntdll.dll!ZwWaitForMultipleObjects+0xa
8, sechost.dll!LookupAccountSidLocalW+0x3cb
9, sechost.dll!ControlTraceW+0x834
10, ExtendedTools.dll+0x4781
11, ProcessHacker.exe+0x11f4
12, kernel32.dll!BaseThreadInitThunk+0x22
13, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №4 (ThID №3336):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForSingleObject+0x2c0
4, ntoskrnl.exe!_misaligned_access+0x7c
5, ntoskrnl.exe!KeIsAttachedProcess+0x9d1
6, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
7, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
8, ntoskrnl.exe!KeWaitForMultipleObjects+0x1ed
9, win32k.sys!W32pArgumentTable+0x2ad4
10, win32k.sys!W32pArgumentTable+0x63d
11, win32k.sys!W32pArgumentTable+0x26f1
12, win32k.sys!EngCopyBits+0xbe0a
13, win32k.sys!W32pArgumentTable+0x51a
14, ntoskrnl.exe!setjmpex+0x34a3
15, user32.dll!GetMessageW+0x5a
16, user32.dll!GetMessageW+0x25
17, ProcessHacker.exe!PhFormatLogEntry+0x19c6
18, ProcessHacker.exe!PhFormatLogEntry+0x17c3
19, ProcessHacker.exe!mxmlSetText+0x54a4
20, kernel32.dll!BaseThreadInitThunk+0x22
21, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №5 (ThID №2344):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeWaitForMultipleObjects+0x403
4, ntoskrnl.exe!ObWaitForMultipleObjects+0x289
5, ntoskrnl.exe!ExInitializeRundownProtectionCacheAware+0x59a
6, ntoskrnl.exe!setjmpex+0x34a3
7, ntdll.dll!ZwWaitForMultipleObjects+0xa
8, KernelBase.dll!WaitForMultipleObjectsEx+0xed
9, kernel32.dll!WerpLaunchAeDebug+0x23a1
10, kernel32.dll!WerpLaunchAeDebug+0x1dc3
11, KernelBase.dll!UnhandledExceptionFilter+0x23f
12, ntdll.dll!TpDbgDumpHeapUsage+0x143
13, ntdll.dll!TpDbgDumpHeapUsage+0x9b9
14, ntdll.dll!memset+0xb679
15, ntdll.dll!_C_specific_handler+0x96
16, ntdll.dll!wcstok_s+0x34be
17, ntdll.dll!_chkstk+0x9d
18, ntdll.dll!RtlRaiseException+0xf67
19, ntdll.dll!KiUserExceptionDispatcher+0x3a
20, ProcessHacker.exe!PhCreateString+0x7
21, FirewallMonitorPlugin.dll+0x32c1
22, FWPUCLNT.DLL!FwpmEventProviderIsNetEventTypeEnabled0+0x2ea
23, ntdll.dll!RtlDetectHeapLeaks+0xdb
24, ntdll.dll!LdrInitializeThunk+0xa2a
25, ntdll.dll!RtlFreeUnicodeString+0x1c51
26, kernel32.dll!BaseThreadInitThunk+0x22
27, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №6 (ThID №744):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeRemoveQueueEx+0x26d
4, ntoskrnl.exe!KeIsAttachedProcess+0x17a2
5, ntoskrnl.exe!KeIsAttachedProcess+0xe53
6, ntoskrnl.exe!setjmpex+0x34a3
7, ntdll.dll!ZwWaitForWorkViaWorkerFactory+0xa
8, ntdll.dll!RtlFreeUnicodeString+0x1ab6
9, kernel32.dll!BaseThreadInitThunk+0x22
10, ntdll.dll!RtlUserThreadStart+0x34

:: Tread №7 (ThID №364):: стек вызовов::
0, ntoskrnl.exe!KeIsAttachedProcess+0x92e
1, ntoskrnl.exe!KeWaitForMultipleObjects+0x140f
2, ntoskrnl.exe!KeWaitForMultipleObjects+0xcb9
3, ntoskrnl.exe!KeRemoveQueueEx+0x26d
4, ntoskrnl.exe!KeIsAttachedProcess+0x17a2
5, ntoskrnl.exe!KeIsAttachedProcess+0xe53
6, ntoskrnl.exe!setjmpex+0x34a3
7, ntdll.dll!ZwWaitForWorkViaWorkerFactory+0xa
8, ntdll.dll!RtlFreeUnicodeString+0x1ab6
9, kernel32.dll!BaseThreadInitThunk+0x22
10, ntdll.dll!RtlUserThreadStart+0x34[/more]
после последней ошибки Process Hacker v2.36 r6158

Добавлено:
Или в 7 сама ОС создает подобный каталог при создании профиля? Первый раз слышу, потому как на 7 практически не работал. На 8.1. ничего подобного не видел, может при системном крахе создастся, но у мну их небыло... тьфу, тьфу

KLASS
Не надо для этого ничего устанавливать. https://msdn.microsoft.com/en-us/library/windows/desktop/bb787181(v=vs.85).aspx
Эти дампы вообще должны создаваться автоматически.

boi1eI

Цитата:

Эти дампы вообще должны создаваться автоматически.

Как понял из статьи, только после включения параметров в реестре ручками, а по умолчанию то нет.

KLASS
я в реестре ничего не включал и эта папка с дампами у меня есть.

unreal666
Версию ОС мне угадывать?

Добавлено:
К тому же чел в комментах пишет, что на 2012 уже по барабану указанный раздел реестра...

KLASS

Каталог создаётся автоматом в C:\Users\<username>\Local Settings\CrashDumps , сам каталог Local Settings скрытый, потому если в файл манеджере не включён их показ его не видно, второй - MiniDump обычно тут живёт C:\Windows\Minidump и не скрыт. Может в восьмёрке их куда перекинули дабы M$ могла ещё на чём копеечку срубить? но в семёрке оба есть.

Цитата:

сам каталог Local Settings скрытый

Разумеется, все включено, к тому же, у мну файл менеджер работает от имени Системы, а там видно даже такое

Я потому и не въехал сначала, стал тебя переспрашивать.

Цитата:

C:\Windows\Minidump

Все так. Но при ошибке РН, туда ничего не кладется (по крайней мере в 8.1), да и папки такой нет, потому как вынь не падала.
Опять же, по умолчанию, настройки стоят такие:

и разумеется, в системе нет ни одного .dmp при крахе РН.

Добавлено:
boi1eI
Забыл, у тя 8.1 х86 или х64. Дампы при крахе РН создаются?
А то я начинаю думать, что я один без дампов... тогда это становится интересным и можно забросить пока перевод )

Добавлено:
Епт, по моему я вспомнил почему у мну нету дампов... файла подкачки то тютю, все системные изменения происходят только в памяти )

KLASS
8.1 про х64. Дело не в разрядности. Должен работать (т.е. не быть нигде отключен, покоцан) сам механизм Windows Error Reporting. Отчеты и посылки в МС (experience и т.д.) туда не входят.
Раздел реестра актуален для осей XP-10, но в данном случае вручную прописывать РН не требуется.

Общая папка крэшдампов софта находится по адресу %LOCALAPPDATA%\CrashDumps

KLASS

В каталог ОС летит дамп ядра при сбое, а при сбое приложения дамп летит в профиль пользователя - C:\Users\%USERNAME%\AppData\Local\CrashDumps на который создан симлинк %USERPROFILE%\Local Settings\CrashDumps и узнать %USERPROFILE% легко выдав в консоли команду set без параметров - она выдаст список всех переменных среды (указываются %имя_переменной%)и там в конце будут две строки USERNAME=... и USERPROFILE=... - они нас и интересуют. Просто ты не там дамп искал. И такое бывает, все мы люди-человеки.

boi1eI
Victor_VG
У мну тут все так запущено )
Embedded 8.1+UWF-фильтр, после включения последнего, подкачка ходит лесом.
Щаз пожру и в виртуалке сабж буду мучить, а то так и дампа никогда не увижу )

Кстати, да иногда если процесс краха происходит очень быстро (менее чем за 0,1 сек) дамп не успевает создастся, это нормально ибо винда не ОС реального времени (ОС РВ) и время её реакции на внешние события порядка 0,1 - 0,15 сек, а у любой ОС РВ к примеру у QNX порядка 0,00001 сек и менее.

KLASS (20:12 03-07-2015)
Цитата:

Embedded 8.1+UWF

А там может быть вся эта лабуда отключена запросто, или вообще отсутствовать. Тем более uwf, там дампы никчему.

boi1eI
Это другая [more=история]В системе с отключенным фильтром не запускал ни одной сторонней программы (в том числе и портативной) и не собираюсь. Потому нет антивирусников, сторонних брандмауэров и прочей лабуды тормозящей работу системы. Т.е. система не засрана сторонним софтом. Очень удобно для экспериментов как раз с таким разным софтом. Не возникнет конфликта между программами и прочее. Знаю, можно для этого юзать виртуалки с откатом. Но в виртуалке скорость не айс, да и просто лень ее порой запускать. На "живой" системе всегда веселее экспериментить. Потом, падает не вынь, ее роняют программеры пишущие под вынь, с вытекающими. А так система всегда как новая и сама по себе глючить не начнет )[/more]

Добавлено:
Пока не хочет последний сабж с включенными плагинами падать в виртуалке. Уже полчаса гоняю, заточен сабж под виртуалки что-ли... так и дампа не увижу )
Извиняюсь за попытку ввести в заблуждение с дампами, совсем вылетело из головы, что подкачки у мну нет на хосте.

KLASS

Дело не в подкачке - создание дампа при креше отключаемо в настройках ОС и это не зависит от наличия файла подкачки - разные подсистемы ОС.

Victor_VG
Ты про сабж+подкачка? Или про систему+подкачка?
Чего тогда у мну нифига не создается? Визуально то я изменения на диске вижу, стало-быть должен видеть и дамп, а его тю-тю. Настройки я показывал, они по умолчанию.

Добавлено:
USERNAME=KLASS
USERPROFILE=C:\Users\KLASS

Добавлено:
А искал я по всему диску файлы .dmp

KLASS
Думаю будет полезно, для общего развития https://msdn.microsoft.com/en-us/library/windows/hardware/ff540137(v=vs.85).aspx

KLASS

Если в ОС отключено создание дампа при падении приложения (это отдельная настройка), то он вообще не создаётся.

Victor_VG
Я, разумеется, не отключал. Похоже boi1eI прав. Что-то "сломали" в Embedded с созданием дампа, как системы так и приложений. Щаз отключил UWF, задал подкачку 4096Мб и уронил систему. После загрузки никакого дампа, хотя настройки установил на создание минидампа. В общем не жди от меня сабжевого дампа. В виртуалке собака работает, а тут дампа тю-тю. Наверняка в реестре можно подкрутить, но искать и заниматься этим лень... лучше переводом займусь. )