DTrace on nüüd saadaval Windowsis

Järgmine Windows 10 funktsioonivärskendus (19H1, aprilli 2019 värskendus, versioon 1903) sisaldab populaarse avatud lähtekoodiga silumis- ja diagnostikatööriista DTrace tuge. See loodi algselt Solarise jaoks ja sai kättesaadavaks Linuxi, FreeBSD, NetBSD ja macOS-i jaoks. Microsoft on selle üle kandnud Windowsi.

DTrace on dünaamiline jälgimisraamistik, mis võimaldab administraatoril või arendajal vaadata süsteemi reaalajas kas kasutaja või kerneli režiimis. DTrace'il on C-stiilis kõrgetasemeline ja võimas programmeerimiskeel, mis võimaldab jälituspunkte dünaamiliselt sisestada. Neid dünaamiliselt sisestatud jälgimispunkte kasutades saate filtreerida tingimusi või vigu, kirjutada koodi lukumustrite analüüsimiseks, tuvastada ummikuid jne.

Windowsis laiendab DTrace Windowsi sündmuste jälgimist (ETW), mis on staatiline ja ei võimalda käivitamise ajal jälituspunkte programmiliselt sisestada.

Kõik dtrace.sys kasutatavad API-d ja funktsioonid on dokumenteeritud kõned.

Microsoft on juurutanud Windows 10 jaoks spetsiaalse draiveri, mis võimaldab täita mitmeid süsteemi jälgimise rolle. Draiver on kaasas Windows 10 versiooniga 1903. Lisaks nõuab DTrace praegu Windowsi käivitamist, kui kerneli silur on lubatud.

Porteeritud DTrace'i tööriista lähtekood on saadaval GitHubis. Külastage lehte "DTrace Windowsis” GitHubi projekti OpenDTrace all, et seda näha.

Seadistage DTrace operatsioonisüsteemis Windows 10

Funktsiooni kasutamise eeldused

• Windows 10 sisering ehitada 18342 või kõrgem
• Saadaval ainult x64 Windows ja salvestab jälgimisteabe ainult 64-bitiste protsesside jaoks
• Windows Insider programm on lubatud ja konfigureeritud kehtiva Windows Insideri kontoga
  • Lisateabe saamiseks külastage jaotist Seaded-> Värskendus ja turvalisus-> Windows Insider

Juhised:

1. BCD konfiguratsioonikomplekt:
   1. bcdedit / seadke dtrace sisse
   2. Pange tähele, et kui lähete üle uuele Insideri järgule, peate uuesti määrama suvandi bcdedit
2. Lae alla ja installige DTrace'i pakett aadressilt allalaadimiskeskus.
   1. See installib kasutajarežiimi komponendid, draiverid ja lisafunktsioonide paketid, mis on vajalikud DTrace'i toimimiseks.
3. Valikuline: värskendage PATH keskkonnamuutuja lisada C:\Program Files\DTrace
   1. set PATH=%PATH%;"C:\Program Files\DTrace"
4. Seadistamine sümboli tee
   1. Looge sümbolite kohalikuks vahemällu salvestamiseks uus kataloog. Näide: mkdir c:\symbols
   2. Määra _NT_SYMBOL_PATH=srv*C:\symbols*http://msdl.microsoft.com/download/symbols
   3. DTrace laadib vajalikud sümbolid automaatselt alla sümboliserverist ja salvestab vahemällu kohalikule teele.
5. Valikuline:Kerneli siluri seadistamine ühendus sihtmasinaga (MSDN link). See on ainult nõutav, kui soovite jälgida kerneli sündmusi FBT või muude pakkujate abil.
   1. Pange tähele, et kui soovite seadistada kerneli siluri, peate arvutis C: keelama Secureboot ja Bitlocker (kui see on lubatud).
6. Taaskäivitage sihtmasin

DTrace'i kasutamine

1. Avage an kõrgendatud käsuviip.
2. Käivitage üks järgmistest käskudest:

   # Syscall kokkuvõte programmide kaupa 5 sekundit: dtrace -Fn "tick-5sec { exit (0);} syscallentry{ @num[pid, execname] = count();} " # Tee kokkuvõte taimeri seadistus-/tühistamisprogrammist 3 jaoks sekundit: dtrace -Fn "tick-3sec { exit (0);} syscall:: Nt*Timer*:entry { @[probefunc, execname, pid] = count();}" # Tühjenda süsteemi protsessi tuuma struktuur: (nõuab sümboli tee olema määratud) dtrace -n "BEGIN{print(*(struct nt`_EPROCESS *) nt`PsInitialSystemProcess);exit (0);}" # Teede jälgimine NTFS-i kaudu faili notepad.exe käivitamisel (nõuab KD a

Käsk dtrace -lvn syscall loetleb kõik sondid ja nende parameetrid, mis on saadaval syscalli pakkujalt.

Järgmised on mõned Windowsis saadaolevad pakkujad ja nende vahendid.

• syscall – NTOS-süsteemi kõned
• fbt (Funktsioonipiiri jälgimine) – Kerneli funktsiooni sisestus ja tagastamine
• pid – kasutajarežiimis protsesside jälgimine. Nagu kerneli režiimis FBT, kuid võimaldab ka suvaliste funktsioonide nihkeid mõõta.
• etw (Sündmuste jälgimine Windowsile) – võimaldab määrata ETW jaoks sonde. See pakkuja aitab DTrace'is olemasolevaid operatsioonisüsteemi seadmeid ära kasutada.
  • See on üks täiendus, mille oleme DTrace'ile teinud, et võimaldada sellel paljastada ja hankida kogu teavet, mida Windows juba pakub ETW.

Siit leiate rohkem Windowsi stsenaariumide jaoks kasutatavaid näidisskripte näidiste kataloog.

Allikas: Microsoft