Windows系统内存分析工具的介绍

已于 2023-01-13 15:55:53 修改
阅读量5.2k 收藏 10
点赞数 1
文章标签: windows Powered by 金山文档
于 2023-01-13 10:52:51 首次发布
原文链接:https://help.aliyun.com/document_detail/41079.html
版权

概述

微软官方提供多种工具来分析Windows系统的内存使用情况,除了系统自带的任务管理器(Task Manager),资源监视器(Resource Manager),性能监视器(Performance Monitor),还有SysInternals工具,SysInternals工具如RAMMap和PoolMon,可以用来分析内存问题。本文简单介绍这些工具的使用方法,如果需要了解深入了解,请参考微软相关链接。

  • 任务管理器

  • 资源监视器

  • 性能监视器

  • RAMMap和Process Explorer

  • Pool Monitor

任务管理器

Windows系统可以使用任务管理器进行内存监控,监控可以显示出详细的内存占用的进程。尤其是在性能中检查虚拟内存的使用情况,可以通过已提交虚拟内存(Commited Bytes)/虚拟内存上限(Commit Limit)查看使用情况。如果已提交虚拟内存非常接近上限,那么系统会出现性能问题。

Windows 2008 R2

  1. 打开任务管理器,单击 性能,通过任务管理器查看内存使用情况。

还可以添加各类内存指标进行检查,打开任务管理器,依次选择详细信息标签-在表头右键 > 选择列,添加各类内存指标,请重点添加 内存 - 工作集(检查进程物理内存的占用)和 内存 - 提交大小(非保留的虚拟内存空间)。

内存-工作集 :就是在RAM这种物理内存中占用的大小

内存 - 提交大小:就是提交的总虚拟内存大小,一部分在PageFile,一部分在物理内存

Windows 2012

打开任务管理器,单击 性能,通过任务管理器查看内存使用情况。

资源监视器

通过任务管理器,可以打开资源监视器(Resource Manager),进一步检查内存的使用情况,尤其是每个进程的使用情况。对于各个进程而言,请重点关注 提交(KB)内存的大小,监控是否有进程消耗过多资源。

物理内存的使用包含以下几个部分。

  • 给硬件保留的内存。

  • 正在使用内存:由进程、驱动程序、操作系统使用的内存。

  • 已修改内存:内容必须写入磁盘才能用于其它用途的内存。

  • 备用内存:包含未使用的缓存数据和代码的内存。

  • 可用内存:不包含任何有价值数据,以及当进程、驱动程序、操作系统需要更多的内存时优先使用的内存。

  • 缓存:当文件被打开时,系统会把文件保存在缓存中,方便下次迅速读写。Windows 2008 R2及以后版本,对这个缓存的使用也做了限制,有一部分物理内存不会被缓存使用,保证系统即使在缓存过大的时候,也有可用物理内存,满足程序使用需求。

性能监视器

性能监视器(Performance Monitor)是用于Windows监控和收集系统资源消耗的重要工具。

  1. 监控性能消耗可以通过添加指定的计数器,实时检查系统资源消耗的情况,如下图所示。

  1. 此外,还可以依次选择 数据收集搜集 > 用户定义,手工添加各类计数器,例如Logical Disk、Memory、System、Processor、 Process来收集系统各类资源的实时运行情况,同时通过采样间隔来定义收集频率。例如,如果机器有内存泄露问题很久才能复现,可以配置采样间隔为5秒,如果机器很容易出现CPU异常,那么可以配置采样间隔为1秒。

RAMMap和Process Explorer

RAMMap

有时在任务管理器的监控窗口中查看不到占用内存异常的进程,但物理内存显示已经负载的状态。这种情况一般是系统底层有占用内存的情况,可以通过RAMMap工具查看系统内存的占用情况,该工具是微软官方的软件,相关信息及下载地址请访问RAMMap。打开RAMMap,可以查看任务管理器中不显示的系统占用内存的情况。

Process Private: 分配给单一Process专用的内存

Mapped File: 用来储放档案内容快取(Cache)的内存空间

Shared Memory: 标注给多个Process共用的内存分页(Page,内存管理单位)

Page Table: 用来描述虚拟内存位址的分页表(裡面是一笔一笔的PTE,Page Table Entries)

Paged Pool: 允许移至硬盘的核心集区内存(Kernal Pool Memory)

Nonpaged Pool: 不允许移至硬盘的核心集区内存

System PTEs: 与I/O空间、核心堆叠、内存描述清单等系统分页相关的PTE

Session Private: 登入工作阶段相关的内存

Metafile: 是系统快取的一部份,包含NTFS Metadata(包含MFT及其他NTFS Metadata档案)。在MFT中,每个档案属性记录佔用1K,而一个档案至少有一个属性记录,再加上其他NTFS Metadata档,当档案数众多,这块会很快速成长。

AWE: 启用Address Windowing Extension技术所使用的相关内存空间(较常应用在SQL或其他DB)

Driver Locked: 驱动程式锁定的实体内存。多用于I/O的暂时性小量应用,如果有装RAMDisk,也会算在这一区。

Kernel Stack: 核心执行绪推叠,执行绪愈多,用量愈大。

每项分类都有以下栏位:

Active: 正在使用中的实体内存分页(Process Working Set或System Working Set)

Standby: 留在实体内存但暂不使用的分页,保留供后续能快速重覆利用

Modified: 与Standy类似,但内容被修改过,重覆使用前要先回写到硬盘机

Modified no write: 与Modified类似,但标注为不需回写到硬盘

Transition: 在分类之间转换的分页

Zeroed: 内容已清空可供使用的分页,系统刚开机时明显增加,随著使用一段时间逐步转为Standby

Free: 可以使用但残留先前资料的分页,使用前需先转为Zeroed

Bad: 标注损坏的内存

Process Explorer

Process Explorer也可以查看进程的详细资源占用情况,例如打开后也可以查看到进程的各类内存资源使用情况。

Pool Monitor

对于WIndows内核而言,其两项核心的内存资源为non paged pool(非页面缓冲池)以及paged pool(页面缓冲池)。操作系统出现内存性能问题,很可能是上述2个资源消耗殆尽。虽然通过上述提到的工具可以查看到资源消耗的情况,但是如果需要定位是系统哪个Tag消耗的资源,需要使用PoolMon来定位。使用介绍请参考Pool Monitor

检查perfmon的日志来定位究竟是哪个Pool Tag导致的资源消耗殆尽,例如,检查到IoDn Tag导致资源消耗完,通过如下命令定位到是SafeDogFileGuard.sys,,而后通过修正该应用解决。

findstr /m /1 IoDn *.sys

系统显示类似如下。

renlubo-qingdao
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 系统优化安装工具 NTLite 1.8.0.6790 + x64 中文企业版.zip
06-03
NTLite 中文版可以用来做什么,它其实是一款 Windows 系统精简增强优化工具,具体想怎么样,要看你如何使用它了。虽然现在网络上有各种系统精简工具,包括本站推荐的 Dism++ 中文版或者其它的系统优化工具,他们各有自己的优点。NTLite 允许您删除你不希望或不需要安装的 Windows 组件。此外可以配置和整合,加快 Windows 部署过程。方便集成应用程序安装程序、脚本、注册表改动或原始命令。也支持静默自动运行应用程序安装程序后安装。当然,具体 NTLite 怎么样,你还是亲自使用感受下吧。 Windows 系统精简强制优化工具 NTLite 中文版Windows 系统精简强制优化工具 NTLite 中文版 映像管理 功能强大,但易于使用。在整个工具中提供动态工具栏,图像列表概述,预设和更多的细节,这些细节可以帮助您在保持映像的同时提高工作效率。 所有支持的标准映像格式,包括 WIM,解密的 ESD(电子软件下载)和 SWM(跨越式,分割映像)。 包括 ESD 到 WIM,SWM 到 WIM(又名映像加入),WIM 到 SWM(又名映像分割)转换。 如果存在正常的映像文件夹结构(例如,启动和来源文件夹),则工具可以从其中任何一个创建可启动的 ISO。 并且您可以编辑所有支持的主机组合中的映像,例如支持从 Windows 7 编辑 Windows 10 映像作为主机。 注意:64位和32位工具版本可以编辑64位和32位映像。例外的是 Windows 7 Service Pack slipstream,对于64位版本,您需要在64位主机操作系统下运行。 实时安装修改 在“脱机”编辑 Windows 安装映像之前,NTLite 采用了实时编辑模式,这是一种独特的功能,允许您从已安装的 Windows 配置并删除组件,而无需重新安装。只需在要编辑的操作系统上运行该工具,选择要更改的内容,并在必要时重新启动 – 即时结果。 注意:ISO 创建仅适用于映像/脱机。无法从 Live 安装创建 ISO。 组件移除 减少 RAM 和存储驱动器内存上的 Windows 占用空间。 移除您选择的组件,并通过兼容性安全机制加以保护,以加速找到最佳位置。 注意:每个新组件都是独立的高级功能 更新,语言和服务包集成 轻松集成更新,语言和服务包。 更新集成功能可以进行智能排序,使您可以无缝地添加软件包进行集成,并且该工具将按照适当的顺序应用它们,从而保持更新兼容性。 分析选项建议某些更常见的问题,依赖关系或某些KB更新的建议。 驱动程序集成 将驱动程序集成到映像中,Windows 将在部署时自动安装检测到驱动程序。 还具有“导入主机”功能,可以将主机驱动程序集成到映像中。 然后像“排除未使用”这样的选项,它从集成队列中删除驱动程序,这些驱动程序不会根据所选硬件列表的需要进行检测。 驱动程序也可以集成到启动映像(boot.wim,Setup),以便它们在 USB/ISO 启动时可用。可以集成和使用 USB3 或 SATA 控制器驱动程序,否则这些驱动程序将不受支持,具体取决于 Windows 版本。 硬件瞄准 NTLite 可以收集主机硬件列表并将其用于其所有功能。 硬件目标清单是一个免费有用的功能,允许您在应用更改之前提前查看所生成的部署中缺少的驱动程序。 这使您可以在准备映像时定位到其他机器,同时尝试达到最小部署大小或最大兼容性。 您还可以从映像或现有安装中提取驱动程序。 注册表集成和编辑 使您能够轻松地将 REG 文件直接应用到映像注册表,无需在安装过程中应用,使注册表更改独立于部署方法。 HKCU 条目映射到默认用户,并在所有用户创建之前传播更改。 还提供手动更改的直接配置单元编辑。 调整 轻松更改实时安装或图像上的各种Windows设置,例如页面文件设置或各种资源管理器UI设置等等。 在部署之前您也可以预先配置 Windows 功能,就像在控制面板 – 程序 – 打开或关闭 Windows 功能部件一样。 无人值守安装 Windows 无人值守功能支持,在单个页面上提供许多常用选项,以实现简单,全自动的设置。 通过从源自身读取的有效条目呈现多项选择选项。 包括自动填充选项,使用当前的主机数据填充选项,允许快速配置。 添加本地帐户,提前选择用户名和密码,安装后自动登录。 网络连接,允许您在安装后自动连接到工作组或域。 磁盘分区,通过自动格式化和分区驱动器来加速部署。 应用集成 轻松集成应用程序安装程序,脚本,注册表调整或原始命令。提供无声开关,并自动运行应用程序安装程序后设置。 待处理更改概述和后处理自动化 在实际应用这些更改之前,所有待处理的更改和重要警告均显示在单个页面上以供快速审阅。 通过启用额外选项或自
redis可视化工具 RedisInsight windows安装包在windows系统上可视化查看redis数据库
01-08
windows系统上可视化查看redis数据库 redis可视化工具 RedisInsight是Redis Labs提供的一个用于管理和监控Redis数据库的图形用户界面(GUI)工具。它为用户提供了直观的界面,以便更轻松地执行各种Redis数据库操作,包括查看键值、执行命令、监控性能等。 一些RedisInsight的功能包括: 实时监控: 提供实时的性能监控和统计信息,包括内存使用、命令执行、连接数等。 数据浏览: 允许用户浏览和搜索Redis数据库中的键值对,以及执行一些基本的操作,如删除键等。 命令执行: 用户可以通过GUI界面执行Redis命令,而不必直接在命令行中输入。 可视化工具: 提供图表和图形,以帮助用户更好地理解和分析Redis数据库的性能和数据。
win10上查看dll依赖了哪些别的库
最新发布
weixin_42408280的博客
02-27 623
软件,主要用于查看dll或exe依赖的dll或导入/导出函数。但它并不支持Win10,而只能在win7系统下使用,并且目前已停止更新,最新版2.2.6000。因此,在Win10下可使用depencies软件。在Win10下之间运行DependenciesGui.exe,然后直接将exe或dll文件拖到窗口中即可。Depends是一款很实用的vc。
poolmon内存泄露分析windows工具下载.txt
07-16
Poolmon是一款windows平台下的核心内存泄漏检测工具,核心内存windows分配给系统内核或驱动所需的内存空间,核心分页池内存或未分页池内存如果增长表明你的电脑存在核心内存泄漏,如果达到了windows所分配的最大值,最终导致的后果是windowds变慢或者瘫痪 。
windows 及服务器内存查询、分析、检测工具合集
11-18
DynCache,RAMMap,Strings,WIN2008刷新缓存工具SetSystemFileCache。 Windwos Server 2008 中出现物理内存占用极高甚至宕机,但任务管理器中各进程的内存占用并不多,查来查去也不知道什么原因的情况。使用RAMMAP的工具检查,发现这些内存被Metafile占用了,经查阅Metafile是系统缓存的一部分同时也包含了NTFS的数据。。此问题可能是由于Server 2008中为保证服务器性能不限制系统缓存,服务器系统长时间执行I/O,系统文件缓存不断占用物理RAM造成,现在通过限制系统缓存大小来解决。
论文研究-windows os 内存取证 .pdf
08-15
windows os 内存取证,张辉,,应用计算机内存取证工具分析Windows系统内存中的敏感信息,从而获得犯罪证据,研究了当系统处于“活”状态下,加密、隐藏的文件在��
内存分析工具
Aheaboy的博客
04-27 1915
Java 内存分析工具可以帮助开发人员诊断和解决内存相关问题,例如内存泄漏、内存溢出等。安卓内存分析工具可以帮助开发人员诊断和解决安卓应用程序的内存相关问题,例如内存泄漏、内存溢出等。以上是其中一些常用的 C++ 内存分析工具,不同的工具有不同的特点和适用场景,可以根据具体需要选择合适的工具。Valgrind:一个功能强大的内存调试和性能分析工具,可以检测出内存泄漏、非法内存访问等问题。Purify:一个商业化的内存调试工具,可以检测出内存泄漏、非法内存访问等问题。
内存查看工具RAMMAP说明
热门推荐
kakashs
03-08 1万+
参考 Technet Process Private: 分配给单一Process专用的内存 Mapped File: 用来储放档案内容快取(Cache)的内存空间 Shared Memory: 标注给多个Process共用的内存分页(Page,内存管理单位) Page Table: 用来描述虚拟内存位址的分页表(裡面是一笔一笔的PTE,Page Table Entries) Paged Pool...
一文深度讲解JVM 内存分析工具 MAT及实践(建议收藏)
m0_63437643的博客
05-05 7813
1. 前言熟练掌握 MAT 是 Java 高手的必备能力,但实践时大家往往需面对众多功能,眼花缭乱不知如何下手,小编也没有找到一篇完善的教学素材,所以整理本文帮大家系统掌握 MAT 分析工具。本文详细讲解 MAT 众多内存分析工具功能,这些功能组合使用异常强大,熟练使用几乎可以解决所有的堆内存离线分析的问题。我们将功能划分为4类:内存分布详情、对象间依赖、对象状态详情、按条件检索。每大类有多个功能点,本文会逐一讲解各功能的场景及用法。此外,添加了原创或引用案例加强理解和掌握。如图所示:​编辑切换为居中添加图
几款内存分析工具
xharvard的专栏
10-13 2238
几款内存分析工具
工具 】【 Windows内存监控之MemoryMonitor
hezhanran的博客
04-12 5926
文章目录一、监控步骤二、结果分析         前段时间,要对项目进行内存自测,需要在Windows平台下,测试和收集长时间范围内程序的内存使用波动,并以此进行分析一些内存的异常点,当时没找到比较合适的工具,因此就基于C++自行开发了一个小工具MemoryMonitor。 运行平台:Windows 运行方式:控制台运行 输出结果:.log和.xlsx文件 一、监控步骤 启动要监控的程序,如:xxxxx.exe。 打开任务
python获取系统内存占用信息的实例方法
01-19
它主要应用于系统监控,分析和限制系统资源及进程的管理。它实现了同等命令行工具提供的功能,如ps、top、lsof、netstat、ifconfig、who、df、kill、free、nice、ionice、iostat、iotop、uptime、pidof、tty、...
深入解析WINDOWS操作系统(第4版)
05-10
观察Windows如何管理虚拟内存和物理内存;理解NTFS的操作和格式,诊断文件系统访问问题;从上往下查看Windows的网络栈,包括 映射、API、名称解析和协议驱动程序;诊断引导问题,执行崩溃分析
深入解析WINDOWS操作系统(第4版).pdf
12-04
《深入解析:Windows操作系统》(第4版)是著名的操作系统内核专家Mark Russinovich和David Solomon撰写的Windows操作系统原理的最新版著作,全面和深入地阐述了Windows操作系统的整体结构以及内部工作细节。...
Windows取证分析Windows Forensic Analysis)随书工具
05-06
Windows 取证分析——dvd工具包,提供大量利用Perl脚本编写的程序。
深入解析WINDOWS操作系统(第4版)01
05-10
共4个压缩包 ...观察Windows如何管理虚拟内存和物理内存;理解NTFS的操作和格式,诊断文件系统访问问题;从上往下查看Windows的网络栈,包括映射、API、名称解析和协议驱动程序;诊断引导问题,执行崩溃分析
利用Volatility进行Windows内存取证分析(一):初体验
Fly_鹏程万里
05-16 8943
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
[软件甜点] Win7下内存使用分析工具Rammap图文介绍
aohaizhi7722的博客
06-20 608
从Vista开始,微软就逐渐改变了内存的使用方式,不再保留尽可能多的空闲内存,而是尽可能的使用内存以提高系统性能。特别是Win7之后,一开机就能看到70%以上的内存占用。如图: 那么这么多内存,到底是怎么使用的呢?今天就给大家推荐一个Win7下内存使用分析工具RamMap。 软件档案 名称:RamMap 版本:v1.0 主页:http:/...
practice:windows 7中部分比较好用的功能
weixin_33872566的博客
05-25 150
一、内存诊断工具mdsched.exe 在开始——运行输入该命令,弹出内存诊断窗口,如图:   二、windows defender Windows Defender 是一个免费程序,它帮助计算机抵御间谍软件和其他有害软件导致的弹出窗口、降低性能和安全威胁。它具有实时保护的功能,拥有一个能在检测到间谍软件时建议您采取何种措施的监视系统,可最大程度地减少中断并且不影响您的正常工作...
windows下的内存分析工具
05-13
Windows下有几个流行的内存分析工具,其中一些是: 1. WinDbg:这是一个非常强大的调试器,可以用来分析内存转储文件,查找内存泄漏和其他内存问题。 2. Process Explorer:这个工具可以显示每个进程正在使用的内存,包括物理内存和虚拟内存。 3. RAMMap:这是一个微软开发的工具,可以显示系统中的内存使用情况,包括哪些进程使用了多少内存以及哪些内存区域被保留了但未使用。 4. VMMap:这个工具可以用来分析进程的虚拟地址空间,并显示在其中分配的内存区域。 5. DebugDiag:这是一个微软开发的工具包,包括一些工具,可以用来分析崩溃转储文件和内存泄漏问题。 这些工具都有其独特的功能和优点,你可以根据你的具体需求选择其中之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值