計(jì)算機(jī)操作系統(tǒng)基礎(chǔ)與應(yīng)用2009.12清華大學(xué)出版社計(jì)算機(jī)操作系統(tǒng)基礎(chǔ)與應(yīng)用2009.12清華大學(xué)出版社1第1篇操作系統(tǒng)原理第2篇WindowsXP基礎(chǔ)與實(shí)訓(xùn)第3篇Linux基礎(chǔ)與實(shí)訓(xùn)第1篇操作系統(tǒng)原理第2篇WindowsXP基礎(chǔ)與實(shí)第4章WindowsXP入門第5章WindowsXP的管理工具與系統(tǒng)結(jié)構(gòu)

第6章

WindowsXP的資源管理功能第7章

WindowsVista入門第4章WindowsXP入門第5章WindowsX第5章WindowsXP的管理工具與系統(tǒng)結(jié)構(gòu)本章重點(diǎn)介紹WindowsXP的系統(tǒng)結(jié)構(gòu)。Windows內(nèi)部的許多細(xì)節(jié)可以利用各種實(shí)用工具來查看和證實(shí)。在WindowsXP中有一套現(xiàn)成的工具，在第4章中已經(jīng)介紹了其中與用戶界面緊密相關(guān)的一部分工具，本章再介紹4個(gè)有用的工具：注冊(cè)表編輯器、任務(wù)管理器、事件查看器和性能監(jiān)視器。學(xué)會(huì)使用這些工具，將有助于對(duì)WindowsXP內(nèi)部結(jié)構(gòu)的理解和日常更好地發(fā)揮WindowsXP的作用。第5章WindowsXP的管理工具與系統(tǒng)結(jié)構(gòu)5.1注冊(cè)表機(jī)制注冊(cè)表包含了引導(dǎo)和配置系統(tǒng)所需的信息、控制Windows操作的系統(tǒng)范圍軟件設(shè)置、安全數(shù)據(jù)庫，以及各個(gè)用戶的配置設(shè)定。同時(shí)，注冊(cè)表是反映內(nèi)存中易失數(shù)據(jù)的窗口，從中可以觀察硬件當(dāng)前狀態(tài)和性能計(jì)數(shù)器信息。對(duì)注冊(cè)表的改動(dòng)必須十分小心，這里介紹注冊(cè)表，只是為了后面通過查看注冊(cè)表來加深對(duì)Windows系統(tǒng)結(jié)構(gòu)的理解。5.1注冊(cè)表機(jī)制注冊(cè)表包含了引導(dǎo)和5.1.1注冊(cè)表邏輯結(jié)構(gòu)鍵是注冊(cè)表的主要成分，每個(gè)鍵對(duì)應(yīng)一個(gè)鍵值，還可以包含若干下一級(jí)鍵（也稱為子鍵）。一個(gè)鍵值包含若干項(xiàng)，每個(gè)項(xiàng)有名稱、類型和數(shù)據(jù)。鍵組成了注冊(cè)表的層次結(jié)構(gòu)，頂級(jí)的鍵稱為根鍵。鍵在鍵名和路徑的表示方面類似于文件。注冊(cè)表有5個(gè)根鍵，分別存儲(chǔ)一個(gè)方面的各種信息（見表5-1）。其中的HKCC、HKCR和HKCU是鏈接根鍵，鏈接到別的鍵。5.1.1注冊(cè)表邏輯結(jié)構(gòu)表5-1注冊(cè)表的根鍵根鍵名縮寫存儲(chǔ)的信息HKEY_CLASSES_ROOTHKCR文件關(guān)聯(lián)和組件對(duì)象模型的對(duì)象注冊(cè)信息HKEY_CURRENT_USERHKCU與當(dāng)前登錄用戶有關(guān)的信息HKEY_LOCAL_MACHINEHKLM與系統(tǒng)有關(guān)的信息HKEY_USERHKU本臺(tái)機(jī)器上所有賬號(hào)的信息HKEY_CURRENT_CONFIGHKCC與當(dāng)前硬件配置有關(guān)的信息表5-1注冊(cè)表的根鍵根鍵名縮寫存儲(chǔ)的信息HKEY_CLAHKLM包含系統(tǒng)范圍內(nèi)的配置子鍵（見表5-2）。而子鍵下還有鍵值和下一層子鍵，如此逐層下去，構(gòu)成一棵HKLM樹。其他根鍵也類似。這些樹統(tǒng)稱為注冊(cè)表樹。HKU包含了系統(tǒng)上加載的各個(gè)用戶配置文件和用戶類注冊(cè)數(shù)據(jù)庫的子鍵，還包含了名為HKU\.DEFAULT的子鍵，鏈接到默認(rèn)工作站配置文件。HKLM包含系統(tǒng)范圍內(nèi)的配置子鍵（見表5-2HKLM的子鍵子鍵名包含信息\HARDWARE系統(tǒng)范圍的硬件描述和所有硬件設(shè)備-驅(qū)動(dòng)器的映射\SAM本地賬號(hào)和組信息\SECURITY系統(tǒng)范圍內(nèi)的安全策略和用戶權(quán)限分配\SOFTWARE系統(tǒng)初啟時(shí)不需要的系統(tǒng)范圍的配置信息，第三方應(yīng)用程序的系統(tǒng)范圍設(shè)置\SYSTEM系統(tǒng)初啟時(shí)需要的系統(tǒng)范圍的配置信息表5-2HKLM的子鍵子鍵名包含信息\HARDWARE系HKCU包含了當(dāng)前本地登錄用戶的參數(shù)和軟件配置數(shù)據(jù)，HKCU鏈接到HKU中的與當(dāng)前登錄用戶對(duì)應(yīng)的子鍵。HKCR包含的各個(gè)用戶類注冊(cè)信息來自HKCU\SOFTWARE\Classes，系統(tǒng)范圍的類注冊(cè)信息來自HKLM\SOFTWARE\Classes。HKCC中包含的當(dāng)前硬件配置信息則來自HKLM\SYSTEM\CurrentControlSet\HardwareProfiles\Current。HKCU包含了當(dāng)前本地登錄用戶的參數(shù)5.1.2注冊(cè)表數(shù)據(jù)類型鍵值可采用的數(shù)據(jù)類型如表5-3所示，其中常用的有REG_DWORD、REG_BINARY、REG_SZ和REG_LINK。REG_DWORD類型的鍵值可以存儲(chǔ)數(shù)字和布爾值；REG_BINARY類型的鍵值可以存儲(chǔ)大于32位的數(shù)字或原始數(shù)據(jù)，如加密口令；REG_SZ鍵值存儲(chǔ)文件名、路徑和類型等字符串；REG_LINK十分有用，它允許一個(gè)鍵值透明地指向另一個(gè)鍵或鍵值，這就使得一個(gè)鍵值可以有多條檢索路徑。5.1.2注冊(cè)表數(shù)據(jù)類型表5-3注冊(cè)表的鍵值類型鍵值類型說明REG_NONE無鍵值類型REG_SZ以null結(jié)束的定長unicode字符串REG_EXPAND_SZ以null結(jié)束的可變長unicode字符串REG_BINARY任意長二進(jìn)制數(shù)據(jù)REG_DWORD32位數(shù)REG_DWORD_LITTLE_ENDIAN32位數(shù)，低位字節(jié)在前。等價(jià)于REG_DWORDREG_DWORD_BIG_ENDIAN32位數(shù)，高位字節(jié)在前REG_LINKunicode符號(hào)鏈接REG_MULTI_SZ以null結(jié)束的unicode字符串?dāng)?shù)組REG_RESOURCE_LISAT硬件資源列表REG_FULL_RESOURCE_DESCRIPTOR硬件資源描述REG_RESOURCE_REQUIREMENTS_LIST資源需求列表表5-3注冊(cè)表的鍵值類型鍵值類型說明REG_NONE無鍵5.1.3注冊(cè)表編輯器利用WindowsXP提供的注冊(cè)表編輯器regedit，可以操作注冊(cè)表。在WindowsXP中也可用regedt32，但它實(shí)際上直接調(diào)用了regedit。注冊(cè)表編輯器的窗口的菜單欄和狀態(tài)欄之間的區(qū)域分兩個(gè)部分，左面是鍵導(dǎo)航樹，右面是鍵值顯示框（見圖5-1）。5.1.3注冊(cè)表編輯器圖5-1注冊(cè)表編輯器的窗口圖5-1注冊(cè)表編輯器的窗口下面舉例說明注冊(cè)表編輯器的使用方法。【例5.1】啟動(dòng)注冊(cè)表編輯器單擊“開始”菜單中的“運(yùn)行”項(xiàng)，在“打開(O)：”左邊的編輯框中輸入“regedit”，然后單擊“確定”按鈕就啟動(dòng)了注冊(cè)表編輯器。下面舉例說明注冊(cè)表編輯器的使用方法。【例5.2】查看環(huán)境變量環(huán)境變量是WindowsXP的重要參數(shù)，控制著程序的多種行為。例如，Path指定了系統(tǒng)文件夾，TEMP指定臨時(shí)文件存放位置，Windir則給出了WindowsXP的系統(tǒng)安裝文件夾。要查看環(huán)境變量，可以如下操作：①

啟動(dòng)注冊(cè)表編輯器。②

在左面的鍵導(dǎo)航樹中依次展開HKLM、SYSTEM、CurrentControlSet、Control和SessionManager各層鍵，單擊Enviroment。

【例5.2】查看環(huán)境變量③

在右面的鍵值顯示框中就能看到全部環(huán)境變量的值。例如，系統(tǒng)目前實(shí)際配置的處理器數(shù)就記錄在NUMBER_OF_PROCESSORS項(xiàng)上（見圖5-2）。圖5-2在regedit中看到的的HKLM樹（未完全展開）③在右面的鍵值顯示框中就能看到全部環(huán)境變量的值。例如，【例5.3】查看顯卡的信息顯卡的信息包括顯卡名、顯卡驅(qū)動(dòng)程序和顯卡配置參數(shù)等。要查看這些信息，可按如下步驟進(jìn)行：①啟動(dòng)注冊(cè)表編輯器。②

在左面的鍵導(dǎo)航樹中依次展開HKLM、HARDWARE和DEVICEMAP，然后單擊VIDEO，右面鍵值顯示框中（見圖5-3）的\Device\Video0項(xiàng)的值就是顯卡信息存放的位置。值\REGISTRY\Machine\System\ControlSet001\Services\ialm\Device0中的REGISTRY是指注冊(cè)表，Machine指HKLM。

【例5.3】查看顯卡的信息圖5-3在注冊(cè)表編輯器中看到的VIDEO鍵值圖5-3在注冊(cè)表編輯器中看到的VIDEO鍵值③再進(jìn)行類似②那樣操作，查看HKLM\System\ControlSet001\Services\ialm\Device0子鍵內(nèi)容，右面鍵值顯示框中DeviceDescription項(xiàng)的值就是顯卡名（見圖5-4）。

③再進(jìn)行類似②那樣操作，查看HKLM\System\C圖5-4在注冊(cè)表編輯器中看到的顯卡名圖5-4在注冊(cè)表編輯器中看到的顯卡名④在HKLM\System\ControlSet001\Services\ialm的鍵值中，ImagePath項(xiàng)的值就是顯卡驅(qū)動(dòng)程序(見圖5-5)。

圖5-5在注冊(cè)表編輯器中看到的顯卡驅(qū)動(dòng)程序名④在HKLM\System\ControlSet001⑤沿著路徑HKLM\System\CurrentControlSet\HardwareProfiles\Current\System\CurrentControlSet\SERVICES逐層展開，可以看到②中得到的\Device\Video0項(xiàng)值對(duì)應(yīng)的子鍵ialm\Device0，單擊這個(gè)子鍵，就可在鍵值顯示框中看到顯卡配置參數(shù)。如水平分辨率（DefaultSettings.XResolution）和每像素位數(shù)（DefaultSettings.BitsPerPel）等（見圖5-6）。⑤沿著路徑圖5-6在注冊(cè)表編輯器中看到的顯卡配置參數(shù)圖5-6在注冊(cè)表編輯器中看到的顯卡配置參數(shù)【例5.4】設(shè)置注冊(cè)表安全屬性利用注冊(cè)表編輯器可以對(duì)注冊(cè)表進(jìn)行安全設(shè)置，限制某些用戶對(duì)注冊(cè)表的訪問權(quán)限，提高注冊(cè)表的安全性。步驟如下：①

單擊要在其上進(jìn)行安全設(shè)置的鍵，再單擊“編輯”菜單中的“權(quán)限…”，則彈出設(shè)置權(quán)限對(duì)話框；②

可在里面添加、刪除或修改用戶對(duì)指定鍵的權(quán)限。【例5.4】設(shè)置注冊(cè)表安全屬性【例5.5】遠(yuǎn)程管理注冊(cè)表注冊(cè)表編輯器還提供了遠(yuǎn)程管理注冊(cè)表功能。當(dāng)有足夠的權(quán)限時(shí)，可如下操作：①

單擊“文件”菜單中的“連接網(wǎng)絡(luò)注冊(cè)表”，則彈出“選擇計(jì)算機(jī)”對(duì)話框；②

在其中選擇想要對(duì)其進(jìn)行操作的計(jì)算機(jī)，然后單擊“確定”。【例5.5】遠(yuǎn)程管理注冊(cè)表5.1.4注冊(cè)表內(nèi)部結(jié)構(gòu)1．儲(chǔ)箱和儲(chǔ)箱文件在WindowsXP內(nèi)部，注冊(cè)表對(duì)應(yīng)多個(gè)文件，每個(gè)文件對(duì)應(yīng)一個(gè)儲(chǔ)箱（hive），每個(gè)儲(chǔ)箱包含一個(gè)注冊(cè)表樹，但這里的注冊(cè)表樹并不與注冊(cè)表編輯器顯示的根鍵一一對(duì)應(yīng)。通過注冊(cè)表編輯器可以看到儲(chǔ)箱及其對(duì)應(yīng)文件（稱為儲(chǔ)箱文件）的列表，這只要單擊HKLM\SYSTEM\CurrentControlSet\Control\hivelist子鍵即行。5.1.4注冊(cè)表內(nèi)部結(jié)構(gòu)圖5-7從注冊(cè)表編輯器可以看到儲(chǔ)箱對(duì)應(yīng)的文件圖5-7從注冊(cè)表編輯器可以看到儲(chǔ)箱對(duì)應(yīng)的文件在圖5-7顯示的注冊(cè)表編輯器界面上，鍵值顯示框里列出了系統(tǒng)當(dāng)前裝載的各儲(chǔ)箱的信息，名稱列給出儲(chǔ)箱（注冊(cè)表子鍵），數(shù)據(jù)列給出儲(chǔ)箱文件名（包括路徑）。可以看到，其中有的儲(chǔ)箱（例如HKLM\HARDWARE）沒有對(duì)應(yīng)的文件，這是“易失性儲(chǔ)箱”，系統(tǒng)在內(nèi)存中創(chuàng)建和管理它。常見的注冊(cè)表鍵和儲(chǔ)箱文件的對(duì)應(yīng)關(guān)系見表5-4。在圖5-7顯示的注冊(cè)表編輯器界面上，鍵表5-4注冊(cè)表鍵與對(duì)應(yīng)文件的路徑注冊(cè)表鍵的路徑儲(chǔ)箱文件的路徑HKEY_LOCAL_MACHINE\SYSTEM\WINDOWS\System32\Config\SystemHKEY_LOCAL_MACHINE\SAM\WINDOWS\System32\Config\SamHKEY_LOCAL_MACHINE\SECURITY\WINDOWS\System32\Config\SecurityHKEY_LOCAL_MACHINE\SOFTWARE\WINDOWS\System32\Config\SoftwareHKEY_LOCAL_MACHINE\HARDWARE（易失性儲(chǔ)箱）HKEY_LOCAL_MACHINE\SYSTEM\Clone（易失性儲(chǔ)箱）HKEY_USERS\<用戶的安全I(xiàn)D>\DocumentsandSettings\<用戶名>\Ntuser.datHKEY_USERS\<用戶的安全I(xiàn)D>_Classes\DocumentsandSettings\<用戶名>\LocalSettings\ApplicationData\Microsoft\Windows\Usrclass.datHKEY_USERS\.DEFAULT\WINDOWS\System32\Config\Default表5-4注冊(cè)表鍵與對(duì)應(yīng)文件的路徑注冊(cè)表鍵的路徑儲(chǔ)箱文件的2．配置管理器配置管理器是WindowsXP內(nèi)部的一個(gè)實(shí)現(xiàn)注冊(cè)表的子系統(tǒng)。它負(fù)責(zé)組織儲(chǔ)箱文件，管理注冊(cè)表，并且確保注冊(cè)表始終處于可恢復(fù)狀態(tài)。除開用戶儲(chǔ)箱文件（見表5-4中的第7、8行）外，其他所有儲(chǔ)箱文件的路徑都被編碼在配置管理器中。配置管理器裝載儲(chǔ)箱時(shí)，就在HKLM\CurrentControlSet\Control\hivelist子鍵的鍵值中記下這每個(gè)儲(chǔ)箱文件的路徑，同時(shí)創(chuàng)建與這些儲(chǔ)箱鏈接的根鍵，建立注冊(cè)表編輯器顯示的注冊(cè)表結(jié)構(gòu)。當(dāng)卸下儲(chǔ)箱時(shí)，配置管理器就刪除其路徑。2．配置管理器為了有效地管理注冊(cè)表，配置管理器采取了一系列措施，包括引入塊（block）、單元（cell）和盒（bin）等管理單位，以及單元映射、名字空間穩(wěn)態(tài)存貯等技術(shù)，并且進(jìn)行了性能優(yōu)化。為了有效地管理注冊(cè)表，配置管理器采取5.2任務(wù)管理器任務(wù)管理器以圖形和數(shù)據(jù)形式提供程序的運(yùn)行狀態(tài)、計(jì)算機(jī)性能的關(guān)鍵指示器、運(yùn)行進(jìn)程的活動(dòng)、CPU和內(nèi)存的使用情況。使用任務(wù)管理器，除了可以查看上述狀態(tài)，還可以結(jié)束進(jìn)程、結(jié)束正在運(yùn)行或已停止響應(yīng)的程序、啟動(dòng)新的程序、關(guān)閉計(jì)算機(jī)。此外，若正與網(wǎng)絡(luò)連接，則可以查看網(wǎng)絡(luò)狀態(tài)，查看網(wǎng)絡(luò)上其他用戶及其活動(dòng)，給其他用戶發(fā)送消息。5.2任務(wù)管理器任務(wù)管理器以圖形和5.2.1任務(wù)管理器界面1．任務(wù)管理器界面組成要進(jìn)入任務(wù)管理器主界面，可以按Ctrl+Alt+Del組合鍵，也可以右擊任務(wù)欄空白處并在彈出的快捷菜單中單擊“任務(wù)管理器”。任務(wù)管理器主界面由選項(xiàng)卡和菜單欄組成，選項(xiàng)卡有5個(gè)：應(yīng)用程序、進(jìn)程、性能、聯(lián)網(wǎng)、用戶，菜單欄包括的菜單項(xiàng)和下拉菜單中的菜單項(xiàng)，都隨選項(xiàng)卡而略有變動(dòng)。5.2.1任務(wù)管理器界面“應(yīng)用程序”選項(xiàng)卡顯示正在運(yùn)行程序的狀態(tài)，包括正在運(yùn)行、沒有響應(yīng)或停止。還設(shè)有“結(jié)束任務(wù)”、“切換至”和“新任務(wù)”3個(gè)按鈕。“進(jìn)程”選項(xiàng)卡顯示正在運(yùn)行進(jìn)程的有關(guān)信息，例如，進(jìn)程使用CPU和內(nèi)存的情況、頁面錯(cuò)誤、句柄計(jì)數(shù)，以及其他參數(shù)的信息。在“進(jìn)程”選項(xiàng)卡上有“結(jié)束進(jìn)程”按鈕。“性能”選項(xiàng)卡顯示計(jì)算機(jī)性能的動(dòng)態(tài)概況，包括：CPU和內(nèi)存使用情況的圖表，正在運(yùn)行的句柄、線程和進(jìn)程的總數(shù)，物理內(nèi)存、核心內(nèi)存和認(rèn)可的內(nèi)存量（如圖5-8所示）。

“應(yīng)用程序”選項(xiàng)卡顯示正在運(yùn)行程序的狀態(tài)圖5-8任務(wù)管理器動(dòng)態(tài)顯示計(jì)算機(jī)性能概況圖5-8任務(wù)管理器動(dòng)態(tài)顯示計(jì)算機(jī)性能概況“聯(lián)網(wǎng)”選項(xiàng)卡僅當(dāng)成功聯(lián)網(wǎng)時(shí)才會(huì)顯示，無論連接到一個(gè)還是多個(gè)網(wǎng)絡(luò)，都能以圖形和列表形式顯示網(wǎng)絡(luò)連接的狀態(tài)。只有工作組成員或獨(dú)立計(jì)算機(jī)，并且啟用了“快速用戶切換”時(shí)，才出現(xiàn)“用戶”選項(xiàng)卡。“用戶”選項(xiàng)卡顯示可以訪問本計(jì)算機(jī)的用戶，以及會(huì)話的狀態(tài)與名稱。“用戶”給出使用該會(huì)話的客戶機(jī)的名稱，“會(huì)話”提供一個(gè)任務(wù)名稱，例如發(fā)送消息、連接或控制臺(tái)等。“用戶”選項(xiàng)卡設(shè)有“斷開”、“注銷”和“發(fā)送消息”3個(gè)按鈕。“聯(lián)網(wǎng)”選項(xiàng)卡僅當(dāng)成功聯(lián)網(wǎng)時(shí)才會(huì)顯示在“進(jìn)程”選項(xiàng)卡中，可以列表顯示進(jìn)程的各種屬性信息（見圖5-9）。這個(gè)列表所包含的每一列，或者對(duì)應(yīng)一個(gè)進(jìn)程屬性，或者對(duì)應(yīng)一個(gè)與進(jìn)程相關(guān)的計(jì)數(shù)器。圖5-9從“查看”的“選擇列”框選擇要顯示的屬性2．任務(wù)管理器提供的進(jìn)程信息在“進(jìn)程”選項(xiàng)卡中，可以列表顯示進(jìn)程的各種屬5.2.2任務(wù)管理器的使用1．用于管理程序(1)啟動(dòng)新程序單擊“應(yīng)用程序”選項(xiàng)卡中的“新任務(wù)”按鈕，接著在“創(chuàng)建新任務(wù)”窗口的“打開”框中鍵入要運(yùn)行的程序的路徑和名稱，然后單擊“確定”。在任務(wù)管理器中啟動(dòng)新程序，相當(dāng)于利用“開始”菜單中的“運(yùn)行”啟動(dòng)新程序。5.2.2任務(wù)管理器的使用(2)切換到另一個(gè)程序在“應(yīng)用程序”選項(xiàng)卡上選定要切換到的程序，再單擊“切換至”按鈕。(3)終止程序在“應(yīng)用程序”選項(xiàng)卡上選定要結(jié)束的任務(wù)，再單擊“結(jié)束任務(wù)”按鈕。利用這個(gè)功能可以結(jié)束程序，不管它是正在運(yùn)行還是已經(jīng)停止響應(yīng)。注意，如果一個(gè)程序被結(jié)束，那么該程序中任何未保存的輸入數(shù)據(jù)或所作更改均將丟失。(2)切換到另一個(gè)程序2．用于管理進(jìn)程(1)改變進(jìn)程優(yōu)先級(jí)在“進(jìn)程”選項(xiàng)卡中，右擊要改變優(yōu)先級(jí)的進(jìn)程，指向“設(shè)置優(yōu)先級(jí)”項(xiàng)，在出現(xiàn)的下拉列表中單擊所需的優(yōu)先級(jí)。更改一個(gè)進(jìn)程的優(yōu)先級(jí)可以改變其運(yùn)行速度，但也會(huì)影響其他進(jìn)程的性能。2．用于管理進(jìn)程(2)將進(jìn)程指派給處理器在“進(jìn)程”選項(xiàng)卡上，右擊要指派的進(jìn)程，在彈出的快捷菜單中單擊“設(shè)置仿射性”，再單擊一個(gè)或多個(gè)處理器。這個(gè)操作將進(jìn)程限制在選定處理器上執(zhí)行，它可能導(dǎo)致總體性能下降。這個(gè)操作僅在多處理器計(jì)算機(jī)上可用。(3)終止進(jìn)程或進(jìn)程樹在“進(jìn)程”選項(xiàng)卡上選定要結(jié)束的進(jìn)程，再單擊“結(jié)束進(jìn)程”按鈕。或者在“進(jìn)程”選項(xiàng)卡上右擊要結(jié)束的進(jìn)程，再在快捷菜單中單擊“結(jié)束進(jìn)程”或“結(jié)束進(jìn)程樹”項(xiàng)。(2)將進(jìn)程指派給處理器注意：如果被結(jié)束的是應(yīng)用程序的進(jìn)程，則將丟失未保存的數(shù)據(jù)；如果被結(jié)束的是系統(tǒng)服務(wù)，則系統(tǒng)的某些部分可能無法正常工作；而“結(jié)束進(jìn)程樹”操作則會(huì)結(jié)束與選定進(jìn)程相關(guān)的所有進(jìn)程。注意：如果被結(jié)束的是應(yīng)用程序的進(jìn)程，3．用于監(jiān)視計(jì)算機(jī)性能(1)選擇查看的計(jì)數(shù)器在“進(jìn)程”選項(xiàng)卡上單擊“查看”項(xiàng)，在下拉菜單中單擊“選擇列”，在彈出的“選擇列”窗口中選定所要監(jiān)視的各個(gè)性能計(jì)數(shù)器名稱，然后單擊“確定”。3．用于監(jiān)視計(jì)算機(jī)性能(2)刷新和改變更新頻率在任務(wù)管理器的任一選項(xiàng)卡上，單擊“查看”項(xiàng)，在下拉菜單中，除了針對(duì)不同選項(xiàng)卡而特有的選項(xiàng)外，還有“立即刷新”和“更新速度”兩個(gè)選項(xiàng)。單擊“立即刷新”，則使選項(xiàng)卡上的圖表反映最新的狀況；單擊“更新速度”，則可在出現(xiàn)的下拉列表中選定高、標(biāo)準(zhǔn)或低的更新頻率。這個(gè)列表中還有個(gè)“暫停”選項(xiàng)，可用于暫時(shí)固定選項(xiàng)卡上的圖表。(2)刷新和改變更新頻率(3)更改顯示選項(xiàng)在一個(gè)選項(xiàng)卡上單擊“查看”項(xiàng)，則出現(xiàn)該選項(xiàng)卡對(duì)應(yīng)的“查看”下拉菜單。對(duì)于“應(yīng)用程序”選項(xiàng)卡，可以選擇按詳細(xì)信息、大圖標(biāo)或小圖標(biāo)查看。對(duì)于“進(jìn)程”選項(xiàng)卡，可以選擇要顯示的列。對(duì)于“性能”選項(xiàng)卡，可以選擇CPU記錄圖，并顯示內(nèi)核時(shí)間。如果選擇了“顯示內(nèi)核時(shí)間”，那么在“CPU使用”和“CPU使用記錄”圖表上將以紅線表示出內(nèi)核操作占用CPU資源的狀況。(3)更改顯示選項(xiàng)5.3事件查看器利用事件查看器，可以搜集計(jì)算機(jī)系統(tǒng)中硬件、軟件和系統(tǒng)問題方面的信息，監(jiān)視WindowsXP安全性事件，將系統(tǒng)和應(yīng)用程序運(yùn)行中的事件記錄到日志中，便于診斷和糾正可能發(fā)生的系統(tǒng)錯(cuò)誤和問題。5.3.1日志類型和事件類型這里所謂的事件，是指系統(tǒng)或應(yīng)用程序中需要通知用戶的所有重要事情，以及要被添加到日志中的其他項(xiàng)目。5.3事件查看器利用事件查看器，可1．日志類型WindowsXP中用來記錄事件的日志類型通常有：(1)應(yīng)用程序日志包含由應(yīng)用程序或系統(tǒng)程序記錄的事件。例如，數(shù)據(jù)庫應(yīng)用程序可在應(yīng)用程序日志中記錄文件錯(cuò)誤。在應(yīng)用程序日志記錄什么事件，由開發(fā)人員來決定。(2)系統(tǒng)日志包含由WindowsXP系統(tǒng)組件記錄的事件。例如，把啟動(dòng)過程中加載驅(qū)動(dòng)程序或其他系統(tǒng)組件時(shí)發(fā)生的故障記錄在系統(tǒng)日志中。由系統(tǒng)組件記錄的事件類型是預(yù)先確定的。1．日志類型(3)安全性日志記錄諸如有效和無效的登錄嘗試等安全事件，以及諸如創(chuàng)建、打開或刪除文件等與資源使用有關(guān)的事件。管理員可以指定在安全日志中記錄的事件，例如，如果啟用了登錄審核，那么對(duì)系統(tǒng)的登錄嘗試就記錄在安全日志中。還可建立新的日志。所有用戶都能查看應(yīng)用程序日志和系統(tǒng)日志，但只有管理員才能訪問安全日志。在缺省情況下，安全日志是關(guān)閉的。可以使用“組策略”來啟用安全日志，管理員也可在注冊(cè)表中設(shè)置審核策略，以使系統(tǒng)在安全日志寫滿時(shí)停止響應(yīng)。(3)安全性日志記錄諸如有效和無效的登錄嘗試等2．事件類型日志中記錄和顯示的事件可分為以下五種類型：(1)錯(cuò)誤引起數(shù)據(jù)丟失或功能喪失等嚴(yán)重問題的事件。例如，若在啟動(dòng)期間服務(wù)加載失敗，則作為錯(cuò)誤記錄下來。(2)警告不很嚴(yán)重但將來可能出現(xiàn)問題的事件。例如，若磁盤空間較小，則會(huì)作為一個(gè)警告記錄下來。2．事件類型(3)信息描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。例如，當(dāng)成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。(4)成功審核審核安全訪問嘗試成功。例如，將用戶成功登錄到系統(tǒng)上的嘗試作為“成功審核”事件記錄下來。(5)失敗審核審核安全訪問嘗試失敗。例如，如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為“失敗審核”事件記錄下來。(3)信息描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操查看事件日志有助于預(yù)測(cè)和識(shí)別系統(tǒng)問題的根源。例如，若日志警告顯示磁盤驅(qū)動(dòng)程序?qū)δ硞€(gè)扇區(qū)在幾次重試后才能讀寫，則該扇區(qū)可能不久將出現(xiàn)故障。日志也可用于確定軟件問題。如果應(yīng)用程序崩潰，那么可以利用應(yīng)用程序日志分析引起該事件的原因。查看事件日志有助于預(yù)測(cè)和識(shí)別系統(tǒng)問題5.3.2事件查看器的使用1．查看事件信息(1)啟動(dòng)事件查看器單擊“控制面板”中的“管理工具”，再單擊“事件查看器”，則出現(xiàn)“事件查看器”的窗口（見圖5-10）。該窗口的左面是控制臺(tái)樹，右面是詳細(xì)信息窗格。圖5-10事件查看器窗口5.3.2事件查看器的使用圖5-10事件查看(2)查看事件詳細(xì)信息單擊控制臺(tái)樹中某個(gè)日志，則該日志被打開，其中記錄的事件信息就在詳細(xì)信息窗格里列出，每行一個(gè)事件記錄。通過單擊菜單項(xiàng)“查看”，再單擊下拉菜單中的“添加/刪除列”，就可以決定在詳細(xì)信息窗格里顯示事件的哪些內(nèi)容。可供選擇的有：類型、日期、時(shí)間、來源、分類、事件、用戶和計(jì)算機(jī)。其中，類型是必需的。(2)查看事件詳細(xì)信息要改變?cè)敿?xì)信息窗格中事件記錄的排列順序，只需單擊要排序的列標(biāo)題。“查看”菜單上有“后進(jìn)先出”和“先進(jìn)先出”按鈕。默認(rèn)是“后進(jìn)先出”，即，后發(fā)生的事件排列在前。雙擊某個(gè)事件（或者選中要查看的事件，再單擊“操作”菜單中的“屬性”），就彈出該事件的屬性窗口。其中，除了上面提到的全部信息，還給出了事件描述和數(shù)據(jù)，右上角的3個(gè)按鈕依次表示“上一個(gè)”、“下一個(gè)”和“復(fù)制”（見圖5-11）。要改變?cè)敿?xì)信息窗格中事件記錄的排列順圖5-11事件的屬性窗圖5-11事件的屬性窗(3)刷新詳細(xì)信息窗格打開日志時(shí)，詳細(xì)信息窗格里顯示的是日志的當(dāng)前信息，窗格里的信息只有在刷新日志后才被更新。在“操作”子菜單中有“刷新”選項(xiàng)，也可以單擊相應(yīng)的圖標(biāo)。如果從一個(gè)日志切換到另一個(gè)日志然后返回到前一個(gè)日志，那么該日志將自動(dòng)更新。必須以管理員或管理組成員的身份登錄才能刷新安全日志。存檔的日志是不允許更新的。(3)刷新詳細(xì)信息窗格(4)查找或篩選事件如果要在某一日志中查找特定條件事件，可以在控制臺(tái)樹中選定要搜索的日志，再單擊“查看”菜單中的“查找”，在彈出的窗口中指定要查找事件的事件類型和搜索方向，同時(shí)可以對(duì)事件來源、類別、事件ID、用戶、計(jì)算機(jī)和描述等定義條件，最后單擊“查找下一個(gè)”按鈕，就可以在詳細(xì)信息窗格里逐個(gè)查看滿足條件的事件。

(4)查找或篩選事件若要按某些條件篩選事件，則可以在控制臺(tái)樹中選定要篩選的日志，再單擊“查看”菜單中的“篩選”，在“篩選器”選項(xiàng)卡上指定所需的特性值，單擊“確定”按鈕就可以在詳細(xì)信息窗格里看到全部滿足條件的事件。要關(guān)閉篩選，可單擊“查看”菜單上的“所有記錄”。為查找或篩選設(shè)置的條件值，在當(dāng)前會(huì)話中一直被保留著，除非作了改動(dòng)。若要恢復(fù)默認(rèn)的搜索條件，則可單擊“還原默認(rèn)值”按鈕。每次啟動(dòng)事件查看器時(shí)將恢復(fù)默認(rèn)設(shè)置。若要按某些條件篩選事件，則可以在控制(5)查看另一臺(tái)計(jì)算機(jī)上的事件右擊控制臺(tái)樹中的“事件查看器（本地）”，在彈出菜單中單擊“連接到另一臺(tái)計(jì)算機(jī)”，在彈出的“選擇計(jì)算機(jī)”對(duì)話框中選定“另一臺(tái)計(jì)算機(jī)”，并在其后的文本框中輸入計(jì)算機(jī)路徑和名稱，單擊“確定”。連接成功后，就可以查看連接到的那臺(tái)計(jì)算機(jī)上的事件日志。(5)查看另一臺(tái)計(jì)算機(jī)上的事件2．操作日志文件(1)設(shè)置活動(dòng)日志選項(xiàng)只有作為管理員或管理組成員登錄，才能設(shè)置活動(dòng)日志選項(xiàng)。在控制臺(tái)樹中選定要設(shè)置選項(xiàng)的活動(dòng)日志，在“操作”菜單上單擊“屬性”，在“常規(guī)”選項(xiàng)卡上可以：改變?nèi)罩久⒃O(shè)置日志文件最大尺寸、規(guī)定日志達(dá)到最大尺寸時(shí)的處理、清除日志、恢復(fù)默認(rèn)設(shè)置。2．操作日志文件對(duì)于日志達(dá)到最大尺寸時(shí)的處理，可有3種選擇：若不想對(duì)該日志進(jìn)行存檔，則選“按需要改寫事件”；若想以計(jì)劃的時(shí)間間隔對(duì)日志進(jìn)行存檔，則選“改寫久于”，并指定適當(dāng)?shù)奶鞌?shù)，同時(shí)確保“最大日志文件大小”足夠滿足時(shí)間間隔；如果必須保留日志中的所有事件，那么選“不改寫事件（手動(dòng)清除日志）”，此選項(xiàng)要求手動(dòng)清除日志。對(duì)于日志達(dá)到最大尺寸時(shí)的處理，可有3種(2)清除活動(dòng)日志內(nèi)容如果在活動(dòng)日志的“屬性”對(duì)話框中選擇了“不改寫事件（手動(dòng)清除日志）”，則必須在日志達(dá)到最大尺寸前或出現(xiàn)日志已滿消息時(shí)清除日志。可以如下操作：以管理員或管理組成員身份登錄，啟動(dòng)事件查看器，在控制臺(tái)樹中單擊要清除的日志，在“操作”菜單上選定“清除所有事件”，單擊“是”則在清除之前保存該日志，單擊“否”則永久丟棄現(xiàn)有的事件記錄，并開始記錄新的事件。(2)清除活動(dòng)日志內(nèi)容對(duì)存檔日志不能“清除所有事件”，對(duì)其“刷新”也不起作用。刪除打開的存檔事件日志，只是刪除控制樹中的相應(yīng)項(xiàng)，而存檔事件日志文件依然存在。對(duì)存檔日志不能“清除所有事件”，對(duì)其“刷(3)存檔活動(dòng)日志將指定的活動(dòng)日志存檔到選定的文件夾中的具體操作如下：在控制臺(tái)樹中單擊要存檔的日志，在“操作”菜單上選定“另存日志文件”，在“文件名”中輸入存檔日志文件的名稱，在“保存類型”中選定文件格式，然后單擊“保存”。(3)存檔活動(dòng)日志如果以日志文件格式存檔日志，則可以在事件查看器中重新打開它。另存為事件日志文件（*.evt）的日志將保留所記錄的每個(gè)事件的二進(jìn)制數(shù)據(jù)。如果把日志存檔為文本（*.txt）或逗號(hào)分隔（*.csv）的格式，則可以在文字處理或電子表格之類的其他程序中重新打開日志。以文本或逗點(diǎn)分隔的格式存儲(chǔ)的日志文件不保留二進(jìn)制數(shù)據(jù)。存檔日志文件已經(jīng)獨(dú)立于原來的日志文件，事件查看器不會(huì)自動(dòng)將兩者聯(lián)系在一起。例如，可在Windows資源管理器中刪除存檔日志文件，這不影響原來的日志文件。如果以日志文件格式存檔日志，則可以在(4)打開存檔的事件日志以日志文件格式保存的事件日志可以在事件查看器中打開，具體操作如下：在“操作”菜單上單擊“打開日志文件”，單擊要打開的文件（可能需要搜索包含該文檔的驅(qū)動(dòng)器或文件夾），在“日志類型”中選擇要打開日志的類型，在“顯示名稱”中輸入要在控制樹中顯示的名稱，然后單擊“打開”。(4)打開存檔的事件日志(5)在事件日志上新建視圖在控制臺(tái)樹中選定要在其上新建視圖的事件日志，單擊“操作”菜單上的“新建日志查看”（見圖5-12），則在控制臺(tái)樹中出現(xiàn)新建的視圖。可以像操作日志一樣操作新建的視圖，例如刷新、查找、篩選和改名，甚至為其新建視圖。但要注意，清除一個(gè)視圖中的事件，實(shí)際上清除了相應(yīng)日志中的事件。視圖可以被刪除，但對(duì)日志沒有刪除操作。(5)在事件日志上新建視圖圖5-12在事件日志上新建視圖圖5-12在事件日志上新建視圖事件日志記錄服務(wù)啟動(dòng)后，按預(yù)先的設(shè)定將搜集到的事件記錄在日志中。在缺省情況下，應(yīng)用程序和系統(tǒng)方面都預(yù)先指定了要搜集的事件，而安全性方面沒有審核項(xiàng)目，因此安全日志中沒有記錄。如果需要，可以以管理員或管理組成員身份登錄，然后設(shè)定安全性審核項(xiàng)目。事件日志記錄服務(wù)啟動(dòng)后，按預(yù)先的設(shè)定(1)用“本地安全設(shè)置”設(shè)定安全性審核項(xiàng)目單擊“控制面板”中的“管理工具”，再單擊“本地安全策略”，則出現(xiàn)“本地安全策略”的窗口。該窗口的左面是控制樹，右面是詳細(xì)信息窗格。展開控制樹中的“本地策略”，可以看到有“審核策略”、“用戶權(quán)利指派”和“安全選項(xiàng)”3項(xiàng)。它們分別用于：決定記錄在計(jì)算機(jī)安全日志上的安全事件，決定在計(jì)算機(jī)上有登錄或任務(wù)特權(quán)的用戶或組，啟用或禁用計(jì)算機(jī)的安全設(shè)置。例如，在單擊“審核策略”后，詳細(xì)信息窗格中列出若干要審核的安全性事件，雙擊要審核的事件，則彈出這個(gè)事件的“本地安全策略設(shè)置”對(duì)話框（見圖5-13），可在這里選定所需的項(xiàng)。(1)用“本地安全設(shè)置”設(shè)定安全性審核項(xiàng)目圖5-13用“本地安全設(shè)置”設(shè)定安全審核項(xiàng)圖5-13用“本地安全設(shè)置”設(shè)定安全審核項(xiàng)(2)使用“組策略”指定要審核的安全性事件①

單擊“開始”和“運(yùn)行”，鍵入mmc/a，再單擊“確定”，則出現(xiàn)“控制臺(tái)”窗口。②

單擊“控制臺(tái)”窗口“文件”菜單中的“添加/刪除管理單元”，再在彈出的“添加/刪除管理單元”對(duì)話框中單擊“添加”，又出現(xiàn)“添加獨(dú)立管理單元”對(duì)話框。③

在這個(gè)對(duì)話框的“管理單元”下選定“組策略”，然后單擊“添加”。(2)使用“組策略”指定要審核的安全性事件④

在出現(xiàn)的“選擇組策略對(duì)象”對(duì)話框中選定“本地計(jì)算機(jī)”并單擊“完成”，再在“添加獨(dú)立管理單元”對(duì)話框中單擊“關(guān)閉”，然后單擊“添加/刪除管理單元”對(duì)話框中的“確定”。⑤

現(xiàn)在控制樹上出現(xiàn)了“本地計(jì)算機(jī)策略”，可以依次展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”和“本地策略”，單擊“審核策略”。此后的操作同(1)。⑥

退出“控制臺(tái)”窗口保存這些設(shè)定。④在出現(xiàn)的“選擇組策略對(duì)象”對(duì)話框中選定“本地計(jì)算機(jī)”并單5.4性能監(jiān)視工具監(jiān)測(cè)系統(tǒng)性能是WindowsXP維護(hù)和管理的重要部分。利用性能數(shù)據(jù)可以了解系統(tǒng)工作負(fù)荷及其對(duì)系統(tǒng)資源的影響，觀察工作負(fù)荷和資源使用的變化和趨勢(shì)，以便計(jì)劃今后的系統(tǒng)升級(jí)；利用監(jiān)測(cè)結(jié)果可以評(píng)價(jià)配置更改或其他調(diào)整的效果，輔助診斷組件和過程的問題，用于優(yōu)化處理；而當(dāng)計(jì)數(shù)器值超出預(yù)定范圍時(shí)發(fā)出警報(bào)能提醒用戶及時(shí)采取相應(yīng)措施。5.4性能監(jiān)視工具監(jiān)測(cè)系統(tǒng)性能是除了提供程序運(yùn)行、處理器和內(nèi)存使用性能簡(jiǎn)要信息的“任務(wù)管理器”之外，WindowsXP還有專門的性能監(jiān)視工具，其主要作用是監(jiān)測(cè)系統(tǒng)性能、查看性能計(jì)數(shù)器日志和設(shè)置警告。啟動(dòng)WindowsXP管理工具“性能”后，可以看到兩個(gè)性能監(jiān)視工具：“系統(tǒng)監(jiān)視器”和“性能日志和警報(bào)”。下面介紹其中的系統(tǒng)監(jiān)視器，在此之前先說明性能對(duì)象、計(jì)數(shù)器和實(shí)例。除了提供程序運(yùn)行、處理器和內(nèi)存使用5.4.1性能對(duì)象、計(jì)數(shù)器和范例在WindowsXP中，對(duì)應(yīng)主要硬件組件（例如內(nèi)存、處理器等）有一組性能對(duì)象，其他程序也可能安裝自己的性能對(duì)象。性能對(duì)象與對(duì)應(yīng)的組件有相同的命名，例如，處理器（processor）對(duì)應(yīng)性能對(duì)象Processor。組件工作時(shí)生成的性能數(shù)據(jù)保存在同名的性能對(duì)象中，性能工具可以監(jiān)視這些對(duì)象。5.4.1性能對(duì)象、計(jì)數(shù)器和范例性能監(jiān)視中最常用的默認(rèn)對(duì)象有：高速緩存(Cache)、內(nèi)存(Memory)、對(duì)象(Objects)、分頁文件(PagingFile)、物理磁盤(PhysicalDisk)、進(jìn)程(Process)、處理器(Processor)、服務(wù)器(Server)、系統(tǒng)(System)和線程(Thread)。性能監(jiān)視中最常用的默認(rèn)對(duì)象有：高速緩在系統(tǒng)監(jiān)視器中，用“范例”來區(qū)分計(jì)算機(jī)上相同類型的多個(gè)性能對(duì)象。有些性能對(duì)象（例如內(nèi)存和服務(wù)器）只有一個(gè)范例；而有些對(duì)象可以有多個(gè)范例，例如，系統(tǒng)中有多少個(gè)進(jìn)程，性能對(duì)象Process就有多少個(gè)范例。每類性能對(duì)象有若干計(jì)數(shù)器，分別記錄相應(yīng)組件特定方面的數(shù)據(jù)。例如，性能對(duì)象Memory的計(jì)數(shù)器Pages/sec跟蹤內(nèi)存頁交換的速度，而計(jì)數(shù)器AvailableBytes是可用的有效物理內(nèi)存的字節(jié)量。計(jì)數(shù)器按其取值方式可分為：在系統(tǒng)監(jiān)視器中，用“范例”來區(qū)分計(jì)算(1)即時(shí)值計(jì)數(shù)器其值是最近一次測(cè)量到的相應(yīng)資源的使用量。例如，性能對(duì)象Process的范例WINWORD的計(jì)數(shù)器ThreadCount顯示的是最近一次測(cè)量時(shí)這個(gè)范例的線程數(shù)。(1)即時(shí)值計(jì)數(shù)器(2)平均值計(jì)數(shù)器其值是最近一個(gè)采樣間隔內(nèi)度量值的平均值。例如，性能對(duì)象Memory的計(jì)數(shù)器Pages/sec給出的是最近一個(gè)采樣間隔內(nèi)的頁交換數(shù)除于間隔持續(xù)時(shí)間所得的值。它等于Memory的另兩個(gè)計(jì)數(shù)器PagesInput/sec和PagesOutput/sec值的和。計(jì)算機(jī)名稱、對(duì)象、范例和范例索引的組合稱為計(jì)數(shù)器路徑。工具中的計(jì)數(shù)器路徑的一般格式是：Computer_name\Object_name(Instance_name#Index_Number)\Counter_name。(2)平均值計(jì)數(shù)器5.4.2系統(tǒng)監(jiān)視器1．主要用途(1)收集并查看本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)上的實(shí)時(shí)性能數(shù)據(jù)，(2)查看搜集在計(jì)數(shù)器日志中的數(shù)據(jù)，(3)以可打印的圖表、直方圖或報(bào)表視圖形式顯示性能數(shù)據(jù)，(4)利用自動(dòng)操作將“系統(tǒng)監(jiān)視器”的功能并入Microsoft的其他應(yīng)用程序，(5)在性能視圖下創(chuàng)建HTML頁，(6)使用Microsoft管理控制臺(tái)（MMC）創(chuàng)建可安裝在其他計(jì)算機(jī)上的、可重用的監(jiān)視配置。5.4.2系統(tǒng)監(jiān)視器2．?dāng)?shù)據(jù)收集設(shè)置在“系統(tǒng)監(jiān)視器”中，可從以下3方面為性能數(shù)據(jù)的收集設(shè)置參數(shù)。(1)數(shù)據(jù)類型為收集數(shù)據(jù)指定性能對(duì)象、性能計(jì)數(shù)器和范例。前已說明，不同性能對(duì)象有不同的計(jì)數(shù)器和范例。(2)數(shù)據(jù)源為收集數(shù)據(jù)指定計(jì)算機(jī)。只要擁有權(quán)限，就可以指定從本地計(jì)算機(jī)或網(wǎng)絡(luò)上的其他計(jì)算機(jī)中搜集數(shù)據(jù)，包括實(shí)時(shí)數(shù)據(jù)和以前使用計(jì)數(shù)器日志搜集的數(shù)據(jù)。2．?dāng)?shù)據(jù)收集設(shè)置(3)采樣參數(shù)為收集數(shù)據(jù)指定自動(dòng)采樣的時(shí)間間隔或手動(dòng)采樣。查看日志文件數(shù)據(jù)時(shí)，還可以選擇開始和停止時(shí)間，以便查看特定時(shí)間范圍內(nèi)的數(shù)據(jù)。(3)采樣參數(shù)為收集數(shù)據(jù)指定自動(dòng)采樣的時(shí)間間隔3．視圖外觀設(shè)置在“系統(tǒng)監(jiān)視器”中，還可從兩個(gè)方面規(guī)定視圖的外觀。(1)顯示類型系統(tǒng)監(jiān)視器支持圖表、直方圖和報(bào)表三種視圖。圖表是默認(rèn)類型，提供的可選設(shè)置最多。(2)顯示特征可以定義視圖顯示的顏色和字體。對(duì)圖表或直方圖，還可指定報(bào)頭并標(biāo)記垂直軸線，設(shè)置描述的值范圍，調(diào)整線條的顏色、寬度和樣式等特征。3．視圖外觀設(shè)置4．界面與使用單擊“控制面板”中的“管理工具”，再單擊“性能”，則在MMC中打開了“性能”窗口。該窗口的左面是控制臺(tái)樹，在默認(rèn)情況下右面顯示的是圖表視圖和工具欄（見圖5-14）。4．界面與使用清除顯示添加計(jì)數(shù)器凍結(jié)顯示單步更新加亮圖5-14在MMC中打開的“性能”窗口清除顯示添加計(jì)數(shù)器凍結(jié)顯示單步更新加亮圖5-14在MMC單擊工具欄中的“添加計(jì)數(shù)器”圖標(biāo)，就進(jìn)入“添加計(jì)數(shù)器”對(duì)話框，通過選定性能對(duì)象、計(jì)數(shù)器和范例，就可將需要的多個(gè)計(jì)數(shù)器添加到圖形中，可用“清除顯示”圖標(biāo)來結(jié)束并開始一段采集。右擊圖形區(qū)域，單擊快捷菜單中的“屬性”，則可在常規(guī)、來源、數(shù)據(jù)、圖表和外觀等選項(xiàng)卡上進(jìn)行屬性設(shè)置。如果在“常規(guī)”選項(xiàng)卡上選擇了“自動(dòng)更新間隔”，系統(tǒng)監(jiān)視器就開始按指定的計(jì)數(shù)器和更新間隔在圖形區(qū)域繪制數(shù)值圖表；如果沒有選擇“自動(dòng)更新間隔”，就得用“單步采集”圖標(biāo)來逐個(gè)值地觀察。單擊工具欄中的“添加計(jì)數(shù)器”圖標(biāo)，就下面列表中列出了添加在圖形中的全部計(jì)數(shù)器，在其中可以選擇當(dāng)前計(jì)數(shù)器，可以單擊“加亮”圖標(biāo)，使系統(tǒng)監(jiān)視器以黑色（這是默認(rèn)背景色）突出顯示當(dāng)前計(jì)數(shù)器的圖形。圖形區(qū)域和列表之間是一組“數(shù)值欄”，顯示當(dāng)前計(jì)數(shù)器的最新值、平均值、最小值、最大值和圖形時(shí)間。如果采用曲線圖，那么當(dāng)雙擊圖形中的某條曲線時(shí)，列表中這條曲線對(duì)應(yīng)的計(jì)數(shù)器就被高亮顯示出來。單擊列表中的一個(gè)列名（對(duì)象、計(jì)數(shù)器、范例或計(jì)算機(jī)），就能夠讓列表中的信息行按這列值的升序或降序排列。下面列表中列出了添加在圖形中的全部計(jì)5．?dāng)U展使用“系統(tǒng)監(jiān)視器”還允許用戶通過編程來擴(kuò)展使用監(jiān)視功能。“系統(tǒng)監(jiān)視器”可以作為支持VisualBasicAutomation的ActiveX控件使用，因此，開發(fā)人員可以把“系統(tǒng)監(jiān)視器”控件的功能結(jié)合到自己的程序中去。例如，要在Word文檔中添加“系統(tǒng)監(jiān)視器”曲線圖，并打印這些曲線圖，最簡(jiǎn)單的方法是將“系統(tǒng)監(jiān)視器”控件嵌入其中。5．?dāng)U展使用【例5.6】在Word文檔中添加“系統(tǒng)監(jiān)視器”曲線圖。(1)在MicrosoftWord文檔中插入“系統(tǒng)監(jiān)視器控件”在MicrosoftWord97以上版本中，打開Word文檔，確定控件插入的位置。在“視圖”菜單上，指向“工具欄”，單擊“控件工具箱”。單擊“其他控件”圖標(biāo)，選定“SystemMonitorControl”。這樣，一個(gè)系統(tǒng)監(jiān)視器控件被插入到文檔中。【例5.6】在Word文檔中添加“系統(tǒng)監(jiān)視器”曲線圖。(2)該控件此時(shí)處于設(shè)計(jì)模式，可以通過VisualBasic編輯器使用它。注意此控件采用應(yīng)用程序的環(huán)境屬性。也就是說，該控件默認(rèn)采用Word文檔的“背景色”、“前景色”和“字體”設(shè)置。要更改這些設(shè)置或添加計(jì)數(shù)器，可單擊“退出設(shè)計(jì)模式”圖標(biāo)以退出設(shè)計(jì)模式。在添加計(jì)數(shù)器并按自己意愿配置圖形后，就可以打印性能數(shù)據(jù)或保存文檔。(2)該控件此時(shí)處于設(shè)計(jì)模式，可以通過VisualBas5.5WindowsXP的系統(tǒng)結(jié)構(gòu)WindowsXP的系統(tǒng)結(jié)構(gòu)融合了分層和客戶/服務(wù)器兩種結(jié)構(gòu)的特點(diǎn)，反映了現(xiàn)代操作系統(tǒng)的主要特征。本節(jié)將介紹它的系統(tǒng)模型、總體結(jié)構(gòu)和關(guān)鍵組件。5.5.1系統(tǒng)模型1．內(nèi)核模式與用戶模式WindowsXP中應(yīng)用程序與操作系統(tǒng)本身是隔離的。操作系統(tǒng)內(nèi)核代碼運(yùn)行在特權(quán)處理器模式（稱為內(nèi)核模式），可以訪問系統(tǒng)數(shù)據(jù)和硬件；應(yīng)用程序代碼運(yùn)行在非特權(quán)處理器模式（稱為用戶模式），有限制地訪問系統(tǒng)數(shù)據(jù)，不能直接訪問硬件。5.5WindowsXP的系統(tǒng)結(jié)構(gòu)當(dāng)處于用戶模式的程序調(diào)用系統(tǒng)服務(wù)時(shí)，處理器俘獲該調(diào)用然后將它的環(huán)境切換為內(nèi)核模式。當(dāng)系統(tǒng)服務(wù)完成后，操作系統(tǒng)再將該程序的環(huán)境切換回用戶模式，并且使它能夠繼續(xù)進(jìn)行。在WindowsXP上，盡管應(yīng)用程序能夠快捷地調(diào)用內(nèi)核服務(wù)，但不能直接訪問操作系統(tǒng)的內(nèi)核模式的代碼和數(shù)據(jù)，因此操作系統(tǒng)的所有組件都得到了保護(hù)。當(dāng)處于用戶模式的程序調(diào)用系統(tǒng)服務(wù)時(shí)，2．非純粹的微內(nèi)核結(jié)構(gòu)客戶/服務(wù)器結(jié)構(gòu)的操作系統(tǒng)與微內(nèi)核技術(shù)密切相關(guān)。在純粹的微內(nèi)核操作系統(tǒng)中，最基本和最核心的功能組成微內(nèi)核，其他功能（如存儲(chǔ)管理器、進(jìn)程管理器、I/O管理器等）建立在微內(nèi)核提供的基本服務(wù)集之上，并且作為分開的進(jìn)程在各自的地址空間上運(yùn)行。2．非純粹的微內(nèi)核結(jié)構(gòu)WindowsXP不是一個(gè)純粹的微內(nèi)核操作系統(tǒng)，它的內(nèi)核提供了一組精心定義的操作系統(tǒng)原語和機(jī)制，在內(nèi)核基礎(chǔ)上構(gòu)成執(zhí)行體的較高一層功能，在執(zhí)行體之上又構(gòu)成更高一層服務(wù)。與執(zhí)行體等其他部分不同，內(nèi)核永遠(yuǎn)駐留內(nèi)存，其執(zhí)行是不可被搶占的，并且總是運(yùn)行在內(nèi)核模式。它的實(shí)現(xiàn)操作系統(tǒng)功能的大部分組件雖然不在內(nèi)核之中，卻共享受內(nèi)核模式保護(hù)的同一內(nèi)存空間。從這個(gè)意義上說，它是一個(gè)統(tǒng)一龐大的操作系統(tǒng)。這樣的設(shè)計(jì)是出于對(duì)效率的考慮，雖然增大了一個(gè)組件使用的數(shù)據(jù)容易遭受其他組件破壞的風(fēng)險(xiǎn)，但并不意味著它比純粹的微內(nèi)核操作系統(tǒng)更易崩潰。WindowsXP不是一個(gè)純粹的3．面向?qū)ο蠹夹g(shù)的運(yùn)用

傳統(tǒng)的軟件設(shè)計(jì)大多采用自頂向下和逐步求精的方法，在這種設(shè)計(jì)中，系統(tǒng)都有一個(gè)主程序，起著控制、管理和調(diào)度下層模塊的作用。但是，操作系統(tǒng)是種特殊的大型系統(tǒng)軟件，要設(shè)計(jì)出具有單一主程序的操作系統(tǒng)十分困難，有人稱操作系統(tǒng)是沒有“頂”的程序。而面向?qū)ο蠹夹g(shù)認(rèn)為問題域是由相互之間存在著各種聯(lián)系的對(duì)象構(gòu)成的，問題的解應(yīng)該盡量與之相對(duì)應(yīng)，軟件設(shè)計(jì)就是找出并正確描述對(duì)象及其聯(lián)系。用面向?qū)ο蟮挠^點(diǎn)來考慮，操作系統(tǒng)涉及的事件、資源和進(jìn)程等都是對(duì)象，它們的生成、刪除、引用和保護(hù)等都可以采用相同或相似的方法。因此，面向?qū)ο蠹夹g(shù)很適用于操作系統(tǒng)的開發(fā)。3．面向?qū)ο蠹夹g(shù)的運(yùn)用WindowsXP的內(nèi)核模式組件體現(xiàn)了面向?qū)ο笤O(shè)計(jì)的基本原則，它們之間通常不會(huì)直接進(jìn)入對(duì)方內(nèi)部，只能通過正式接口傳遞參數(shù)。但是WindowsXP不是嚴(yán)格意義上的面向?qū)ο蟮南到y(tǒng)。它的很多代碼用C語言寫成，C語言并不直接支持面向?qū)ο蟮母拍睿琖indowsXP中對(duì)象的實(shí)現(xiàn)只是借用了（不是依賴于）C語言中的面向?qū)ο筇匦浴indowsXP的內(nèi)核模式組件4．對(duì)稱式多處理器模型支持多處理器模型的操作系統(tǒng)，簡(jiǎn)稱為多處理操作系統(tǒng)。隨著計(jì)算機(jī)硬件價(jià)格的迅速下降，計(jì)算機(jī)硬件配置不斷提高，因此，多處理操作系統(tǒng)愈來愈廣泛地被實(shí)際采用。當(dāng)計(jì)算機(jī)系統(tǒng)中具有兩個(gè)以上的處理器時(shí)，多處理操作系統(tǒng)可以使多個(gè)進(jìn)程（或線程）同時(shí)分別在處理器上執(zhí)行，有利于提高處理速度和計(jì)算能力。4．對(duì)稱式多處理器模型WindowsXP是對(duì)稱式多處理（SMP）操作系統(tǒng)。在WindowsXP中，操作系統(tǒng)和用戶線程可在任一處理器上運(yùn)行，并且，所有處理器共享同一存儲(chǔ)空間。這與非對(duì)稱式多處理（ASMP）系統(tǒng)不同，在ASMP系統(tǒng)中，操作系統(tǒng)代碼在固定的一個(gè)處理器上執(zhí)行，其他處理器只運(yùn)行用戶程序代碼。WindowsXP是對(duì)稱式多處理多處理操作系統(tǒng)中的資源競(jìng)爭(zhēng)和其他性能問題比在單處理器系統(tǒng)中復(fù)雜得多。為了確保成為成功的多處理操作系統(tǒng)，WindowsXP設(shè)計(jì)中考慮到了：在任一處理器上和同時(shí)在多個(gè)處理器上運(yùn)行操作系統(tǒng)代碼的能力；在單個(gè)進(jìn)程內(nèi)創(chuàng)建多個(gè)能夠在不同處理器上同時(shí)執(zhí)行的線程；在內(nèi)核、設(shè)備驅(qū)動(dòng)程序和服務(wù)器進(jìn)程中實(shí)現(xiàn)細(xì)粒度同步，使更多組件在多個(gè)處理器上同時(shí)運(yùn)行。多處理操作系統(tǒng)中的資源競(jìng)爭(zhēng)和其他性能問5.5.2總體結(jié)構(gòu)前面的介紹中已經(jīng)提到了WindowsXP的一些組成成分，例如環(huán)境子系統(tǒng)、執(zhí)行體、內(nèi)核和設(shè)備驅(qū)動(dòng)程序。下面討論這些成分和其他成分是如何組成一個(gè)操作系統(tǒng)的。圖5-15給出了WindowsXP的結(jié)構(gòu)簡(jiǎn)圖。圖中，粗黑橫線上方是用戶模式進(jìn)程，下方是內(nèi)核模式組件。5.5.2總體結(jié)構(gòu)計(jì)算機(jī)操作系統(tǒng)基礎(chǔ)與應(yīng)用課件1．用戶模式進(jìn)程基本類型這個(gè)結(jié)構(gòu)中有4種基本的用戶模式進(jìn)程：固定的系統(tǒng)支持進(jìn)程包括會(huì)話管理器（SessionManager）和登錄（Logon）等進(jìn)程，它們不是Windows服務(wù)，不是由服務(wù)控制管理器來啟動(dòng)的。服務(wù)進(jìn)程包括任務(wù)調(diào)度（TaskScheduler）和假脫機(jī)（Spooler）等服務(wù)。許多WindowsXP服務(wù)器應(yīng)用程序（如MicrosoftSQLServer、MicrosoftExchangeServer等）也含有一些作為服務(wù)運(yùn)行的組件。用戶應(yīng)用程序可以是Windows32位、Windows64位、Windows3.x16位、MS-DOS16位或POSIX32位應(yīng)用程序。環(huán)境子系統(tǒng)服務(wù)器進(jìn)程實(shí)現(xiàn)了對(duì)操作系統(tǒng)環(huán)境的、或是對(duì)展示給用戶和程序員的個(gè)性化的部分支持，有Windows和POSIX兩種環(huán)境子系統(tǒng)。1．用戶模式進(jìn)程基本類型從圖5-15可以看到，服務(wù)進(jìn)程和用戶應(yīng)用程序并不直接調(diào)用Windows的原生（native）服務(wù)，而是通過一個(gè)或多個(gè)子系統(tǒng)動(dòng)態(tài)鏈接庫（DLLs）來發(fā)起調(diào)用。子系統(tǒng)DLL的作用是將一個(gè)文檔化的函數(shù)轉(zhuǎn)化為一些恰當(dāng)?shù)膬?nèi)部（通常是未文檔化的）Windows系統(tǒng)服務(wù)調(diào)用。從圖5-15可以看到，服務(wù)進(jìn)程和用戶2．主要的內(nèi)核模式組件這個(gè)結(jié)構(gòu)中有如下內(nèi)核模式組件：執(zhí)行體（executive），提供基本的操作系統(tǒng)服務(wù)，如內(nèi)存管理、進(jìn)程和線程管理、安全性、I/O、網(wǎng)絡(luò)和進(jìn)程間通信。內(nèi)核（kernel），提供低級(jí)的操作系統(tǒng)功能，如線程調(diào)度、中斷和異常調(diào)度和多處理器同步，還提供一組例程和基本對(duì)象，供執(zhí)行體和其它程序用來構(gòu)造高級(jí)功能。設(shè)備驅(qū)動(dòng)程序（devicedriver），包括硬件設(shè)備驅(qū)動(dòng)程序、文件系統(tǒng)和網(wǎng)絡(luò)驅(qū)動(dòng)程序。其中，硬件設(shè)備驅(qū)動(dòng)程序?qū)⒂脩舻腎/O功能調(diào)用轉(zhuǎn)換為特定的硬件設(shè)備I/O請(qǐng)求。硬件抽象層（hardwareabstractionlayer，HAL），它將執(zhí)行體、內(nèi)核和設(shè)備驅(qū)動(dòng)程序與特定平臺(tái)硬件隔離開來，使它們不直接面對(duì)硬件（例如主板）的差別。窗口和圖形系統(tǒng)（windowingandgraphicssystem），實(shí)現(xiàn)圖形用戶界面（GUI）功能，如處理窗口、控制用戶界面和繪圖。2．主要的內(nèi)核模式組件3．核心組件對(duì)應(yīng)的文件表5-5列出了上述核心組件對(duì)應(yīng)的文件，這些文件可在\WINDOWS\SYSTEM32\中找到。表5-5核心組件對(duì)應(yīng)的文件文件名組件ntoskrnl.exe執(zhí)行體和內(nèi)核ntkrnlpa.exe（僅用于32位系統(tǒng)）支持物理地址擴(kuò)展（PAE）的執(zhí)行體和內(nèi)核HAL.DLL硬件抽象層win32k.sysWindows子系統(tǒng)的內(nèi)核模式部分ntdll.dll內(nèi)部支持函數(shù)和執(zhí)行體函數(shù)的系統(tǒng)服務(wù)調(diào)度占位程序advapi32.dll，gdi32.dll，kernel32.dll，user32.dllWindows的核心子系統(tǒng)DLL3．核心組件對(duì)應(yīng)的文件表5-5核心組件對(duì)應(yīng)的文件4．WindowsXP版本的識(shí)別

WindowsXP是采用WindowsNT代碼基礎(chǔ)的第一個(gè)客戶版本，沒有對(duì)應(yīng)的服務(wù)器版本。有人說Windows2003是與WindowsXP對(duì)應(yīng)的服務(wù)器版本，但是兩者的核心系統(tǒng)文件不相同。那么，系統(tǒng)如何識(shí)別所引導(dǎo)的版本呢？這可以通過查詢注冊(cè)表中的有關(guān)子鍵來解決。在系統(tǒng)注冊(cè)表的HKLM\SYSTEM\CurrentControlSet\Control\ProductOptions鍵下，ProductType項(xiàng)的值表示當(dāng)前系統(tǒng)是客戶系統(tǒng)還是服務(wù)器系統(tǒng)，從ProductSuite項(xiàng)的值可以看出是WindowsXPHome和WindowsXPProfessional。這兩項(xiàng)的值見表5-6。4．WindowsXP版本的識(shí)別表5-6注冊(cè)表中ProductType和ProductSuite的值WindowsXP版本ProductTypeProductSuiteWindowsXPProfessionalWinNT（空值）WindowsXPHomeWinNTpersonalWindowsServer（域控制器）LanmanNTTernubakServerWindowsServer（僅服務(wù)器）ServerNTTerminalServer表5-6注冊(cè)表中ProductType和ProductS5.6WindowsXP的關(guān)鍵組件前面已經(jīng)介紹了WindowsXP的總體結(jié)構(gòu)，現(xiàn)在再進(jìn)一步了解系統(tǒng)的內(nèi)部結(jié)構(gòu)和各關(guān)鍵組件的作用。圖5-16中只是給出本節(jié)要介紹的各個(gè)組件。5.6WindowsXP的關(guān)鍵組件計(jì)算機(jī)操作系統(tǒng)基礎(chǔ)與應(yīng)用課件5.6.1環(huán)境子系統(tǒng)和系統(tǒng)DLLs1．環(huán)境子系統(tǒng)

前面介紹用戶界面時(shí)已經(jīng)提到WindowsXP的兩個(gè)環(huán)境子系統(tǒng)Windows和POSIX。Windows子系統(tǒng)地位特殊，沒有它Windows就不能運(yùn)行。POSIX子系統(tǒng)被配置成按需啟動(dòng)，而Windows子系統(tǒng)則必須總是在運(yùn)行。這是因?yàn)椋M管開始設(shè)計(jì)時(shí)要求Windows支持多個(gè)獨(dú)立的環(huán)境子系統(tǒng)，但讓每個(gè)子系統(tǒng)都實(shí)現(xiàn)處理窗口和顯示I/O的所有代碼，顯然會(huì)出現(xiàn)大量重復(fù)的系統(tǒng)函數(shù)，這必然給系統(tǒng)的空間開銷和性能帶來負(fù)面影響。因此，Windows的設(shè)計(jì)者將這些基本的函數(shù)放在Windows子系統(tǒng)中，而讓其他子系統(tǒng)調(diào)用Windows子系統(tǒng)。5.6.1環(huán)境子系統(tǒng)和系統(tǒng)DLLs注冊(cè)表鍵HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems中保存著子系統(tǒng)啟動(dòng)信息（見圖5-17）。其中的Required值列出了系統(tǒng)引導(dǎo)時(shí)加載的子系統(tǒng)Windows和Debug。Windows值Csrss.exe是Windows子系統(tǒng)的文件名稱，Csrss是客戶/服務(wù)器運(yùn)行時(shí)子系統(tǒng)（Client/ServerRun-TimeSubsystem）的縮寫。Debug值是空的（因?yàn)樗糜趦?nèi)部測(cè)試），因此什么也不做。Optional值表明了POSIX子系統(tǒng)將被按需啟動(dòng)。注冊(cè)表值Kmode包含了Windows子系統(tǒng)的內(nèi)核模式部分的文件名Win32k.sys。注冊(cè)表鍵HKLM\SYSTEM\CurrentCon圖5-17注冊(cè)表編輯器中顯示的Windows子系統(tǒng)啟動(dòng)信息圖5-17注冊(cè)表編輯器中顯示的Windows子系統(tǒng)啟動(dòng)信Windows子系統(tǒng)由以下幾個(gè)主要組件構(gòu)成。(1)環(huán)境子系統(tǒng)進(jìn)程（Csrss.exe），它支持：控制臺(tái)（文本）窗口；創(chuàng)建或刪除進(jìn)程和線程；對(duì)16位虛擬DOS機(jī)（VDM）進(jìn)程的部分支持；其他一些函數(shù)，比如GetTempFile、DefineDosDevice、ExitWindowsEx，以及一些自然語言支持函數(shù)。(2)內(nèi)核模式設(shè)備驅(qū)動(dòng)程序（Win32k.sys），它包含：窗口管理器（windowmanager）；圖形設(shè)備接口（GDI）。(3)子系統(tǒng)DLLs，例如Kernel32.dll、Advapi32.dll、User32.dll和Gdi32.dll。(4)圖形設(shè)備驅(qū)動(dòng)程序。Windows子系統(tǒng)由以下幾個(gè)主要組件構(gòu)成。2．子系統(tǒng)DLL用戶應(yīng)用程序通過子系統(tǒng)DLL調(diào)用WindowsXP的系統(tǒng)服務(wù)。當(dāng)應(yīng)用程序調(diào)用一個(gè)子系統(tǒng)DLL中的某個(gè)函數(shù)時(shí)，可能會(huì)發(fā)生以下3種情況之一：該函數(shù)完全在該子系統(tǒng)DLL中實(shí)現(xiàn)，在用戶模式下運(yùn)行。即，不用向環(huán)境子系統(tǒng)進(jìn)程發(fā)消息，也不調(diào)用執(zhí)行體的系統(tǒng)服務(wù)，運(yùn)行結(jié)果被返回給調(diào)用者。該函數(shù)要求一次或多次調(diào)用執(zhí)行體，例如，Windows的ReadFile和WriteFile函數(shù)分別調(diào)用底層的（且無文檔的）內(nèi)部WindowsI/O系統(tǒng)服務(wù)NtReadFile和NtWriteFile。該函數(shù)需要在環(huán)境子系統(tǒng)進(jìn)程中完成某些工作。在這種情況下，該函數(shù)以消息的形式給環(huán)境子系統(tǒng)發(fā)送一個(gè)客戶/服務(wù)器請(qǐng)求，讓子系統(tǒng)執(zhí)行某個(gè)操作。然后該子系統(tǒng)DLL等待應(yīng)答，收到應(yīng)答后再返回給調(diào)用者。有些函數(shù)被調(diào)用時(shí)發(fā)生的情況可能是上述(2)和(3)的組合，例如，Windows的CreateProcess和CreateThread函數(shù)。2．子系統(tǒng)DLL3．Ntdll.dllNtdll.dll是一個(gè)專門的系統(tǒng)支持庫，主要供子系統(tǒng)DLL使用。它包含兩組函數(shù)：系統(tǒng)服務(wù)分發(fā)存根（dispatchstub），可調(diào)用Windows執(zhí)行體的系統(tǒng)服務(wù)；內(nèi)部支持函數(shù)，可供子系統(tǒng)、子系統(tǒng)DLL和其他原生映像使用。前一組函數(shù)為在用戶模式下調(diào)用Windows執(zhí)行體系統(tǒng)服務(wù)提供了接口。這些函數(shù)的大多數(shù)功能可以通過WindowsAPI來訪問得到（但有些函數(shù)則只被用于操作系統(tǒng)內(nèi)部）。對(duì)每一個(gè)這樣的函數(shù)，Ntdll包含了一個(gè)同名的入口點(diǎn)。函數(shù)內(nèi)部的代碼包含了針對(duì)特定處理器體系結(jié)構(gòu)的模式切換指令，可轉(zhuǎn)換到內(nèi)核模式，從而調(diào)用系統(tǒng)服務(wù)分發(fā)器。分發(fā)器在檢驗(yàn)了某些參數(shù)以后，再調(diào)用真正的內(nèi)核模式系統(tǒng)服務(wù)（其中包含Ntoskrnl.exe內(nèi)部的實(shí)際代碼）。3．Ntdll.dll內(nèi)部支持函數(shù)包括了映像加載器（以Ldr開頭的函數(shù)）、堆管理器、Windows子系統(tǒng)進(jìn)程通信函數(shù)（以Csr開頭的函數(shù)），以及一般的運(yùn)行庫過程（以Rtl開頭的函數(shù)），還包含了用戶模式下的異步過程調(diào)用分發(fā)器和異常分發(fā)器。內(nèi)部支持函數(shù)包括了映像加載器（以Ldr開5.6.2執(zhí)行體和內(nèi)核WindowsXP執(zhí)行體是Ntoskrnl.exe中的上層，內(nèi)核是其下層。1．執(zhí)行體下面列出執(zhí)行體包含的函數(shù)類型、重要組件和支持函數(shù)。5.6.2執(zhí)行體和內(nèi)核(1)函數(shù)類型①可在用戶模式下調(diào)用的導(dǎo)出函數(shù)，被稱為系統(tǒng)服務(wù)（systemservice），通過Ntdll導(dǎo)出。②可通過DeviceIoControl函數(shù)來調(diào)用的設(shè)備驅(qū)動(dòng)器函數(shù)，為調(diào)用設(shè)備驅(qū)動(dòng)程序中的與讀/寫無關(guān)的函數(shù)提供了一個(gè)從用戶模式到內(nèi)核模式的通用接口。③只能在內(nèi)核模式下調(diào)用，并已在Windows的設(shè)備驅(qū)動(dòng)程序包（DDK）或可安裝文件系統(tǒng)開發(fā)工具箱（IFSKit）中文檔化的導(dǎo)出函數(shù)。④在內(nèi)核模式下調(diào)用，但未在DDK或IFSKit中文檔化的導(dǎo)出函數(shù)。⑤定義為全局符號(hào)但是未被導(dǎo)出的函數(shù)。⑥未定義為全局符號(hào)、模塊內(nèi)部的函數(shù)。(1)函數(shù)類型(2)主要組件①

配置管理器負(fù)責(zé)實(shí)現(xiàn)和管理系統(tǒng)注冊(cè)表。②

進(jìn)程和線程管理器創(chuàng)建和終止進(jìn)程和線程，它在內(nèi)核中實(shí)現(xiàn)的進(jìn)程和線程底層對(duì)象上加進(jìn)了語義和函數(shù)。③

安全性引用監(jiān)視器在本地（local）機(jī)上實(shí)施安全策略，監(jiān)控操作系統(tǒng)資源，執(zhí)行運(yùn)行對(duì)象的保護(hù)和審查。④

I/O管理程序?qū)崿F(xiàn)與設(shè)備無關(guān)的I/O操作，并負(fù)責(zé)將這些操作分派到恰當(dāng)?shù)脑O(shè)備驅(qū)動(dòng)程序以作進(jìn)一步的處理。⑤

即插即用（PnP）管理器為特定設(shè)備確定并裝入所需的驅(qū)動(dòng)程序，根據(jù)設(shè)備的資源要求分配合適的硬件資源，為設(shè)備變動(dòng)傳送正確的事件通知。(2)主要組件⑥

電源管理器協(xié)調(diào)電源事件，并為設(shè)備驅(qū)動(dòng)程序產(chǎn)生電源管理I/O通知。當(dāng)系統(tǒng)空閑時(shí)，將CPU置為休眠狀態(tài)來減少電耗，協(xié)調(diào)設(shè)備驅(qū)動(dòng)程序改變具體設(shè)備的耗電量。⑦

WDM窗口管理裝置例程發(fā)布設(shè)備驅(qū)動(dòng)程序性能和配置信息，接收來自本地機(jī)（localmachine）或遠(yuǎn)程的用戶模式Windows管理設(shè)施（WMI）服務(wù)的命令。⑧

高速緩存管理器通過將最近引用的磁盤數(shù)據(jù)駐留在內(nèi)存中供快速訪問來提高文件I/O的性能。⑨

內(nèi)存管理器為每一個(gè)進(jìn)程提供超過可用物理內(nèi)存大小的專用地址空間，為高速緩存管理器提供基本支持。⑩

邏輯預(yù)取器加速系統(tǒng)和進(jìn)程的啟動(dòng)過程，優(yōu)化系統(tǒng)或進(jìn)程啟動(dòng)過程中所引用數(shù)據(jù)的加載過程。⑥電源管理器協(xié)調(diào)電源事件，并為設(shè)備驅(qū)動(dòng)程序產(chǎn)生電源管理(3)供上述組件調(diào)用的支持函數(shù)①

對(duì)象管理器創(chuàng)建、管理和刪除代表了操作系統(tǒng)資源的執(zhí)行體對(duì)象和抽象數(shù)據(jù)類型（如進(jìn)程、線程和各種同步對(duì)象）。②

本地過程調(diào)用（LPC）設(shè)施在同一臺(tái)計(jì)算機(jī)上的客戶進(jìn)程和服務(wù)器進(jìn)程之間傳送消息。LPC是對(duì)遠(yuǎn)程過程調(diào)用（RPC）的靈活優(yōu)化。③

公共運(yùn)行時(shí)庫函數(shù)包括字符串處理、算術(shù)運(yùn)算、數(shù)據(jù)類型轉(zhuǎn)換和安全性結(jié)構(gòu)處理等十分廣泛的范圍。④

執(zhí)行體支持例程如系統(tǒng)內(nèi)存分配（換頁的和非換頁的內(nèi)存池）和互鎖內(nèi)存訪問，以及資源和快速互斥體這兩種特殊類型的同步對(duì)象。(3)供上述組件調(diào)用的支持函數(shù)2．執(zhí)行體組件的函數(shù)名約定表5-7列出了執(zhí)行體組件常用的大多數(shù)函數(shù)名前綴。2．執(zhí)行體組件的函數(shù)名約定ZwWindows管理設(shè)施（WindowsManagementInstrumentation）Wmi安全性（Security）Se運(yùn)行庫（Run-timelibrary）Rtl進(jìn)程支持（Processsupport）PsPnP管理器（PnPmanager）Pp電源管理器（Powermanager）

Po對(duì)象管理器（Objectmanager）ObWindows系統(tǒng)服務(wù)（Windowssystemservices）（大多數(shù)被導(dǎo)出為Windows函數(shù)）Nt內(nèi)存管理器（Memorymanager）Mm本地安全認(rèn)證（LocalSecurityAuthority）Lsa本地過程調(diào)用（Localprocedurecall）Lpc內(nèi)核（Kernel）KeI/O管理器（I/Omanager）Io硬件抽象層（Hardwareabstractionlayer）Hal文件系統(tǒng)驅(qū)動(dòng)程序運(yùn)行庫（Filesystemdriverrun-timelibrary）FsRtl執(zhí)行體支持例程（Executivesupportroutines）Ex配置管理器（Configurationmanager）Cm高速緩存管理器（Cachemanager）Cc組件函數(shù)名前綴表5-7執(zhí)行體組件常用函數(shù)名前綴以Nt開頭的系統(tǒng)服務(wù)入口點(diǎn)的鏡像，它把原先的訪問模式設(shè)置為內(nèi)核模式，從而消除了參數(shù)的有效性檢查過程，因?yàn)镹t系統(tǒng)服務(wù)只有當(dāng)原來的訪問模式為用戶模式時(shí)才進(jìn)行參數(shù)檢查ZwWindows管理設(shè)施（WindowsManageme主要的執(zhí)行體組件在標(biāo)記內(nèi)部函數(shù)時(shí)都在前綴的基礎(chǔ)上作了變化：前綴首字母后面跟一個(gè)i表示internal（內(nèi)部的），在前綴后面跟一個(gè)p表示private（私有的）。例如，Ki代表內(nèi)部的內(nèi)核函數(shù)，而Psp指內(nèi)部進(jìn)程支持函數(shù)。主要的執(zhí)行體組件在標(biāo)記內(nèi)部函數(shù)時(shí)都在利用Windows系統(tǒng)例程的命名規(guī)范，可以很容易地解析導(dǎo)出函數(shù)的名稱。一般的格式是：<前綴><操作><對(duì)象>。其中，“前綴”代表導(dǎo)出該例程的內(nèi)部組件，“操作”指明了函數(shù)所做的工作，“對(duì)象”標(biāo)記了操作對(duì)象。例如，ExAllocatePoolWithTag是一個(gè)負(fù)責(zé)從換頁池或非換頁池進(jìn)行內(nèi)存分配的執(zhí)行體支持例程，KeInitializeThread則是分配并建立內(nèi)核線程對(duì)象的例程。利用Windows系統(tǒng)例程的命名規(guī)范3．內(nèi)核和內(nèi)核對(duì)象內(nèi)核是Ntoskrnl.exe的下層，由一組函數(shù)和對(duì)于硬件體系結(jié)構(gòu)的低層支持（比如中斷和異常分發(fā)）組成，它向執(zhí)行體組件提供如線程調(diào)度和同步服務(wù)等基本機(jī)制，而對(duì)硬件的低層支持則隨著每個(gè)處理器結(jié)構(gòu)的不同而有所區(qū)別。內(nèi)核代碼主要用C編寫，但對(duì)于那些要用到特殊的處理器指令和寄存器，并且不容易在C代碼中訪問的任務(wù)，則采用了匯編代碼。如各種執(zhí)行體支持函數(shù)一樣，內(nèi)核中的許多函數(shù)也在DDK中有詳細(xì)的文檔描述。3．內(nèi)核和內(nèi)核對(duì)象內(nèi)核提供了一組定義明確的、可預(yù)知的低層原語和機(jī)制，使執(zhí)行體中的高層組件得以完成要做的事。內(nèi)核實(shí)現(xiàn)操作系統(tǒng)機(jī)制但避免各種策略決定，從而將自己與執(zhí)行體分離開