問題タブ [procmon]

FileStream を使用してファイルに書き込み、基になるシステム コールをProcess Monitorを使用して監視しています。実稼働環境でのファイル ロックの問題で問題が発生しているため、詳細を詳しく調べています。

このサンプル コード:

次のシステム コールを引き起こします。

最初の 3 つの IO 呼び出し (作成、書き込み、閉じる) が想定されていますが、プロセスはさらに何十回もファイルを読み取り、開いたり閉じたりを繰り返します。

私は今、Win XP SP2 と Win 2003 x64 でこの動作を確認しました。ただし、自宅の Windows Vista マシンは期待どおりに動作します (最初の 3 行のみ)。

Vista 以外のランタイムでこれが発生する理由についての手がかりはありますか?

Windows XP SP3 マシンでアプリケーションをコンパイルします。コンパイルしたら、それを起動しようとすると、Windows から次のような応答が返されます。

プログラム 'xx' を開始できません。アプリケーションの構成が正しくないため、このアプリケーションを開始できませんでした。マニフェスト ファイルを見直して、エラーの可能性を確認します。アプリケーションを再インストールすると、この問題が解決する場合があります。詳細については、アプリケーション イベント ログを参照してください。

DLL ファイルをコピーしようとしても役に立ちませんでした (必要に応じて、以前の質問を参照してください)。

次に、sysinternals から Process Monitor を起動しました。
それほど長くはないので、ここでレポートを要約しようと思います。
プロセスが開始され、次に最初のスレッドが開始されます。以下の呼び出しは次のとおりです:
私のexeファイルのQueryNameInformationFile() => 私のexeファイルのSUCCESS Load Image() => ntdll.dllのSUCCESS Load Image() => SUCCESS QueryNameInformationFile() if my exe file => SUCCESS CreateFile() C:\WINDOWS\Prefetch\blahbla.pf => NAME NOT FOUNDで作成しようとすると 、スレッドとプロセスが終了します。

そのフォルダー (C:\WINDOWS\prefetch) を完全に制御できるユーザーを追加しましたが、役に立ちませんでした。それを機能させる方法は？このステップを踏めば、私のアプリケーションは期待通りに動くと思います。

編集: エラーに関する procmon の詳細を追加します。

18:13:40,4305346 xxx.exe 3172 CreateFile C:\WINDOWS\Prefetch\XXX.EXE-1FA9609A.pf NAME NOT FOUND 目的のアクセス: 一般的な読み取り、配置: オープン、オプション: 同期 IO 非アラート、属性: n /a、ShareMode: なし、AllocationSize: なし

私は、portableapps.com の多くのアプリケーション、特に 7-zip ポータブルと gVim ポータブルを仕事に使用しています。

7zip の外部エディターを gVimPortable.exe に設定しました。アーカイブまたは圧縮ファイル内にないファイルを編集する場合は完全に機能しますが、アーカイブまたは圧縮ファイル内のファイルを編集する場合は悲惨なことに失敗します。

何が起こるかというと、7-zip ポータブルがファイルを一時的な場所に保存し、gvimportable.exe を起動し、gvimportable.exe が gvim.exe をフォークして開きます。

gvimportable.exe が終了してしばらくすると、Procmon で、7zFM.exe が一時ファイルを削除する「SetDispositionInformationFile」(詳細: 「Delete: True」) を実行し、gvim がそれを開こうとすると、ファイルが削除されました。

エディターを NotepadPlusPlusportable.exe に設定すると、完全に機能することに注意してください。

この動作について説明はありますか？

-fgVimPortable.exe のオプションでは問題が解決しないことに注意してください。

SysinternalsのProcessMonitorは、ファイルIOアクティビティをどのように監視しますか？詳細情報を有効にすると、以前はCreateFileとして表示されていた呼び出しが、IRP_MJ_CREATEとして表示されるようになりました。これは、かなり低レベルのものをフックしていることを示しています。誰かがそれが何をフックするか/それがどのように機能するかを正確に知っていますか？

Python で *.pyd を読み込もうとしていますが、よく知られている「インポート エラー: DLL の読み込みに失敗しました: 指定されたプロシージャが見つかりません」というメッセージが表示されます。エラー。

私はすでに次のことを行っています：

1.) Dependency Walker で *.pyd を調査しました。GPSVC.DLL と IESHIMS.DLL が見つかりませんでしたが、遅延がロードされました。IEFRAME.DLL もエクスポートが見つからず、遅延ロードされました。これらは使用されておらず、とにかく遅延ロードであるため、問題にはならないはずです。

2.) ProcMon を監視しながら、Python コマンド ウィンドウで foo.pyd に対して "import foo" を実行しました。ProcMon は、"foo.pyd" でイベント "LoadImage" を示し、結果は SUCCESS です。

これは、*.pyd ファイルが正しく読み込まれたことを示しているようです。

それで、私は何が欠けていますか。私のWindows診断はすべてがうまくいっていると言っていますが、pythonは物をロードできないと言っています（通常、dllまたはシンボルが見つからないためです）。

アイデア？

ありがとう！

_stat()C ランタイム関数を ProcMon でキャッチする方法はありますか

「プロセスモニター」（ProcMon）を使用して、IIS7を実行しているWindowsServer2008でw3wc.exeプロセスを監視します。完全に合法的なURLをリクエストすると、ProcMonに「PATHNOTFOUND」エントリが表示されることに気付きました。

たとえば、web.configで次のようなハンドラーを構成しました。

このハンドラーへのリクエスト。「http://localhost/id_123/ImageVaultHandler.aspx」は期待どおりに画像を返しますが、ProcMonでリクエストを分析すると、w3wc.exeプロセスが私のWebディレクトリで同じパスを持つ物理ファイルを検索できなかったようです。 。

これは仕様によるものですか？または、何かを見逃した場合、使用されるアプリケーションプールは「統合モード」で実行するように構成されています。

古い Procmon とその前身 (filemon、regmon など) が仮想ドライバーを使用してカーネルをフックしていたことを理解しています。ただし、Patchguard は 64 ビット Vista 以降で SSDT フックなどを防ぎます。

Procmon は現在、ファイル IO の監視にミニフィルター ドライバーを使用し、ネットワークの監視には ETW を使用していると理解しています。ただし、レジストリ アクセスとプロセス/イメージ/スレッド イベントをどのように監視するかについては明確ではありません。これらにも ETW を使用しますか?

この MSDN 記事: Analyze .NET Framework memory issuesで説明されているように、[Action] メニューに [Debug Managed Memory] ​​が見つからないのはなぜですか?

私のビジュアルスタジオ:

どのように見えるべきか：