Project

General

Profile

РАЗДЕЛ 5
Дополнительная информация

5.1 Получение логов утилиты «Process Monitor»

Утилита Process Monitor — является мощным инструментом для мониторинга в реальном времени файловой системы, системного реестра, а также всех процессов с потоками в оперативной памяти. Более подробную информацию о возможностях утилиты можно ознакомится на её домашней странице (там же её можно и загрузить). После распаковки утилиты её необходимо запустить от имени администратора:

За дополнительной информацией можно обращаться к этой статье в Базе знаний.

5.1.1 Получение логов работы системы

Через меню в главном окне включаем расширенное логгирование («Filter\Enable Advanced Output»):

Далее сворачиваем утилиту и воспроизводим проблему, а после возвращаемся назад в утилиту и останавливаем сбор логов («File\Capture Events»):

Затем сохраняем полученный журнал, в окне сохранения в области «Events to save:» выбираем пункт «All events», а в области «Format» — пункт «Native Process Monitor Format (PML)» и незабываем указать расположение сохраняемого лога:

5.1.2 Получение логов загрузки системы

Для сбора информации о процессе загрузки Windows, что позволит выявить проблему долго запуска, следуйте инструкции в данной статье. За более продвинутым сбором лога обращайтесь к этой записи в блоге.

5.2 Использование пакета программ «Debugging Tools for Windows»

Debugging Tools for Windows (WinDbg) — программный пакет, который позволяет отлаживать 32- и 64-битные приложения пользовательского уровня, драйвера, также может быть использован для анализа аварийных дампов памяти. WinDbg поддерживает автоматическую загрузку отладочных символов, имеется встроенный сценарный (скриптовый) язык для автоматизации процесса отладки.

Согласно разрядности ОС выбираем версию WinDbg для загрузки и последующей установки. Затем устанавливаем его в качестве отладчика по умолчанию, для этого запускаем командную строку с правами администратора и прописываем поочередно следующие команды:

cd «расположение установки»
windbg.exe -I

где «расположение установки» — путь размещения объекта (если в данном пути присутствует хотя бы один пробел, то необходимо полный путь брать в "прямые" кавычки); I — параметр командной строки.

После ввода команды Вы должны получить сообщение, что WinDbg успешно (successfully) стал отладчиком по умолчанию.

i | Перед ручным получением дампа необходимо в настройках установленного продукта выключить самозащиту.

5.2.1 Получение дампа зависшего процесса

При зависшем процессе запускаем WinDbg с правами администратора (важно для UAC, можно указать прямо в свойствах ярлыка на «Рабочем столе»), потом присоединяемся к процессу: выделяем интересующий нас процесс и используем команду «File/Attach to process» (или просто нажимаем клавишу F6). Далее можно снимать уже сам дамп процесса с помощью команды:

.dump -ma C:\DMPs\123.dmp

где .dump -ma — сама команда (начинается с точки); C:\DMPs\123.dmp — путь к файлу (имя может быть произвольным, но указанная папка должна существовать).

5.2.2 Получение дампа упавшего процесса

Поскольку WinDbg является отладчиком по умолчанию, то при падении какого-либо процесса он автоматически это подхватит и покажет своё окно, там вводим ту же команду:

.dump -ma C:\DMPs\123.dmp

5.3 Загрузка системы Microsoft Windows в «безопасном» режиме

В «безопасном» режиме запуск ОС осуществляется с использованием ограниченного набора файлов и драйверов, т. е. только базовый набор, необходимый для запуска.

Данный режим полезен для устранения неполадок, вызванных программами и драйверами, которые могут неправильно загружаться или препятствовать правильному запуску ОС. Если при загрузке в «безопасном» режиме эти проблемы не возникают, то из списка возможных причин можно исключить настройки, используемые по умолчанию, и базовый набор драйверов устройств. Если недавно установленная программа, устройство или драйвер препятствуют правильному запуску системы, то можно запустить компьютер в этом режиме и удалить программу, вызывающую проблему.

За дополнительной информацией обращайтесь к этой статье.

i | При тестировании в продукте VMWare необходимо сразу после старта виртуальной машине кликнуть мышкой по окну. Это нужно, чтобы виртуальная машина получила доступ к клавиатуре и вы могли вызвать загрузочное меню.

5.4 Отключение шифрования логов и дампов продуктом

По умолчанию продукт может быть настроен на автоматическое получение трассировок (включая логи) и дампов памяти в зашифрованном виде — файлы с расширением enc1. Чтобы отключить применение шифрования необходимо за инструкцией обратится в личку сотрудникам компании, которые ведут тестирование, либо в Службу технической поддержки.

5.5 Отключение использования «Microsoft Application Verifier» и «Microsoft Driver Verifier»

Инструменты Microsoft Application Verifier (AppVf) и Microsoft Driver Verifier (DrvVf) применяются в процессе тестирования для выявления и решения ряда «плавающих» и «скрытых» (а иногда и специально спрятанных) проблем, при устранении которых получается более стабильных продукт. За дополнительной информацией об использовании данных инструментов обращайтесь к этим обзорным статьям:

Обычно, на ранних стадиях тестирования эти инструменты для продукта включают по умолчанию, что может привести к снижению производительности ОС и/или продукта. Для его отключения необходимо произвести настройки инструмента путём внесения изменений в реестре.

i | Перед выполнением этой операции необходимо в настройках установленного продукта выключить самозащиту или перезагрузить Windows в «безопасном» режиме.

5.5.1 Microsoft Application Verifier

AppVf — очень мощный инструмент, кроме диагностики работы с «хипом» он умеет уйму всего другого, например, определять неправильную работу с «хендлами», ошибки реализации многопоточности, эмулировать нехватку ресурсов (для проверки корректной работы программы в таких условиях).

Для удобства включение/отключение AppVf можно делать через приложенные файлы реестра (reg-файлы), которые представлены в zip-архиве MS_ApplicationVerifier.zip:
  • AppVerifier_off-x86.reg — отключение AppVf на 32-разрядных системах;
  • AppVerifier_off-x64.reg — отключение AppVf на 64-разрядных системах.

i | Необходимо в настройках установленного продукта выключить самозащиту, что позволит вносить изменения в защищаемые им области данных.
! | Для внесения изменений в систему указанные reg-файлы необходимо запускать с правами администратора.

По окончании внесения изменений необходимо перезагрузить компьютер.

5.5.2 Microsoft Driver Verifier

Падение в программе обычно приводит к падению программы. Умная ОС иногда даже перезапускает их. Падение в драйвере приводит... к отказу самой системы (BSOD или «синий экран смерти»). Падение может случиться, например, при использовании нулевого указателя — всем знакомо, я думаю (пункт 3.6.2), но не только в этом случае. DrvVf делает дополнительные проверки, и при если что-то кажется ему сомнительным, он делает BSOD. Это повышает шанс (в некоторых случаях до 100%) увидеть «синий экран смерти», особенно если у вас специфическое железо, «кривые» дрова на сканер или «малвара». Также, он понижает производительность системы (AppVf, кстати, тоже).

Для удобства включение/отключение DrvVf можно делать через приложенные батники, которые представлены в zip-архиве MS_DriverVerifier.zip:
  • DrvVerifier_off.bat — отключение DrvVf;
  • DrvVerifier_on.bat — включение DrvVf на системах до Windows 8 включительно;
  • DrvVerifier_on-8.1.bat — включение DrvVf на системах с Windows 8.1 и поздних.

i | Необходимо в настройках установленного продукта выключить самозащиту, что позволит вносить изменения в защищаемые им области данных.
! | Для внесения изменений в систему указанные батники необходимо запускать с правами администратора.

По окончании внесения изменений необходимо перезагрузить компьютер.

5.6 Использование функции «Средство записи действий»

Начиная с системы Windows 7 компания Microsoft сделала доступной функцию, которая позволяет пользователям записывать свои действия в любом используемом приложении и предоставлять подробное представление действий со снимками экрана с соответствующими комментариями:

i | Необходимо в настройках установленного продукта выключить самозащиту, что позволит записывать совершаемые действия в его окнах.

Более подробно про работу с данной программой можно ознакомится в этой статье.

! | С параметрами по умолчанию число хранимых снимков экрана равно 25. По превышении данного количества сформированный отчёт будет не полным. Проверяйте, пожалуйста, отчёт перед его передачей сотрудникам «Лаборатории Касперского».

5.7 Получение XPerf-логов

Утилита XPerf входит в состав комплекта средств для развертывания и оценки Windows (Windows ADK) и служит для активации сбора информации о системных процессах, а также процессах приложений. Обзорную информацию про работу с данной утилиты можно ознакомится в этих статьях: Загрузка установочного дистрибутива пакета программ Windows ADK для Windows 8.1 и Windows 10 возможна по следующей ссылке (с информацией про установку можно ознакомится на этой странице) либо загрузить специальную переносную версию:

i | Для 64-разрядной версии ОС Windows необходимо предварительно в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management установить десятичное значение 1 для параметра DisablePagingExecutive (описание значение этого параметра доступно в данной статье). После внесения изменений необходимо перезагрузить компьютер. Без выполнения этого шага анализ трассировок будет сильно затруднен.

Перед воспроизведением проблемы необходимо в продукте включить введение трассировок (пункт 3.4).

Далее запускаем командную строку с правами администратора и прописываем поочередно команды, которые вам предоставил сотрудник ЛК (например, см. пункт 5.7.1).

! | Обратите внимание, что XPerf-логи необходимо собрать исключительно при выключенном DrvVf, иначе собранные XPerf-логи будут не полные и при выполнении команды будет отображено сообщение об ошибке такого вида: «xperf: error: NT Kernel Logger: A device attached to the system is not functioning. (0x1f)».
При возникновении других ошибок ознакомьтесь с информацией в этом сообщении [на английском].

И после введения команды «pause» воспроизводим сценарий проблемы.

В текущей папке полученный XPerf-лог, т. е. файл trace.etl (файлы kernel.etl и user.etl не нужны), с трассировками продукта выложить для передачи разработчикам.

i | Также указанные файлы могут создаться в папке %WinDir%\system32.

5.8 Отключение SecuredDesktopDialog

При отключении продукта или снижении защиты программы появляется сообщение следующего вида:

Такое поведение продукта заложено требованиями (именно для 64-разрядной ОС Windows 8 и позднее). Для отключения данного уведомления необходимо произвести настройки продукта путём внесения информации в реестр.

i | Перед выполнением этой операции необходимо в настройках установленного продукта выключить самозащиту или перезагрузить Windows в «безопасном» режиме.

Откройте редактор реестра с правами администратора и создайте строковое (REG_SZ) значение SecuredDesktopDisabled с параметром 1 в разделах:
  • для продуктов линейки 2014 и ранее — к ветке HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVPxx\environment (где xx — двухзначный номер версии линейки);
  • для продуктов линейки 2015 и выше — к ветке HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVPxx.0.y\environment (где y — номер выпуска MR).

i | Для 64-разрядных ОС необходимо переходить к разделам HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVPхх\environment и HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\AVPxx.0.y\environment соответственно.

5.9 Включение логов утилиты «Kaspersky Restore Utility»

Утилита Kaspersky Restore Utility (KLRT) позволяет восстановить нужную версию сохраненного файла из резервной копии, которая ранее создана в продукте KTS (он же ранее «Kaspersky CRYSTAL»). Ею рекомендуется пользоваться при возникновении трудностей во время использования стандартных средств продукте.

Ссылка на загрузку KLRT размещена на этой странице поддержки в пункте «Как в Kaspersky CRYSTAL R2 запустить задачу резервного копирования?». Кроме этого, данная утилита поставляется с продуктом KTS и расположена для 32-разрядных ОС в установочной папке продукта "%ProgramFiles%\Kaspersky Lab\Kaspersky Total Security xx.0.y\Kaspersky Restore Utility", а для 64-разрядной — в "%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Total Security xx.0.y\Kaspersky Restore Utility" (где xx — двухзначный номер версии линейки, y — номер выпуска MR).

i | При использовании миграции с продуктов KFA, KAV или KIS на KTS имя установочной папки не меняется.

Для включения логов в релизной версии утилиты необходимо произвести редактирование файла kasperskylab.pure.restoretool.exe.config, который «лежит» рядом с файлом запуска самой утилиты. В файл добавляются после </startup> строчки:

<appSettings>
   <add key="EnableTraces" value="true"/>
</appSettings>

i | Перед выполнением этой операции с файлом, который расположен в папке "%ProgramFiles%\Kaspersky Lab\Kaspersky Total Security xx.0.y\Kaspersky Restore Utility" или "%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Total Security xx.0.y\Kaspersky Restore Utility", возможно понадобится в настройках установленного продукта выключить самозащиту или перезагрузить Windows в «безопасном» режиме.

Сами логи собираются в папке %Temp%\KLRT.