如何通过 WPT 来分析 Windows 启动过程
date
Dec 15, 2023
slug
how-to-analyze-windows-boot-by-wpt
status
Published
tags
Windows Internals
Windows Boot
WPT
Performance
summary
这篇文章介绍了如何使用Windows Performance Toolkit(WPT)来分析Windows系统的启动过程。WPT包括Windows Performance Recorder(WPR)和Windows Performance Analyzer(WPA)两个工具,用于记录和分析性能数据。通过WPR记录性能场景为开机,然后使用WPA打开记录的ETL文件进行分析。文章还提到了一些注意事项,例如如果遇到0x80070032错误,可以安装WPA Preview来解决。最后,文章介绍了如何在WPA中查看启动过程中的进程启动顺序和其他相关信息。
type
Post
引入
所谓 WPT 也就是 Windows Performance Toolkit,包含 Windows Performance Recorder (WPR) 和 Windows Performance Analyzer (WPA) 两个。
其中 WPR 主要用于场景的录制;WPA 主要用于录制后的 ETL 的分析。
当然支撑 WPT 运行的就是 ETW(Event trace for windows) 的机制,通过录制过程中的日志,再通过 WPA 将日志文件打开。而 ETW 在 Windows 的各处都存在。因此,我们就可以利用 WPT 来分析 Windows 启动的过程。
ps:当然,在 Windows 加载前的步骤,肯定是记录不了的。
开始抓日志
安装 WPT
WPT 被包含在了 Windows Assessment and Deployment Kit (Windows ADK) 中,可以通过下载 Windows ADK 安装后,就可以安装好 WPT 了。
WPA 已经可以在 Microsoft Store 中下载了。目前 WPR 还不行
抓日志
- 打开 WPA,选择“More options”
- 在【performance scenario】中选择【Boot】,也就是选择性能场景为开机。其他默认就好。最后那个【Number of iterations】就是选择开机几次,这里选择了 2 次,默认是 3 次。
- 然后就可以点击开始了。剩下的就全交给 WPA 即可。它会主动触发关机,然后开机
- 额外的,可以通过【Ctrl + Alt + Win + x】添加标记,后续分析的时候可以用
- 待处理完成后,打开日志文件夹,就可以看到两个 *.Boot.etl 文件。就像下图:
开始分析
选择任意一个 etl 文件,通过 WPA 来打开即可。
这里需要注意,如果打开出现 0x80070032 的错误,这是由于 .net 7 的应用截止到写下此文时,WPA 还不支持打开。通过通过在 Microsoft Store 安装 WPA Preview 来解决。
就像上图这样,左侧就是记录的主要数据了,分为 System Activity、Computation、Storage、Memory、Power、Other 这个几个类型。
我们先来看看 Other 类:
WPA 本身就帮我们分了启动的阶段了。双击图标,就可以在右侧看到更相信的信息了。
接下来,我们主要关注的就是进程相关信息了。
进程在 System Activity 中
于是我们就可以看到下图这样的布局了:
通过在 Boot Phases 中选择特定的阶段,右边的时间轴就会被选择,对应的进程也会被选择。
这就是 seesion init 过程的进程情况,我们可以看到先是 smss.exe(420) 起来了,并且整个生命周期都没有退出,也就是我们在任务管理器中看到的那个。
然后就是 smss.exe(512) 了,可以看到它存活的时间只有 0.3s,那它干了啥呢?
然后就可以看到 csrss.exe、wininit.exe 等都启动了。
依此类推,我们可以看到整个启动过程中的进程启动顺序了。如果你还想看线程、堆栈等信息,也可以选择对应的信息。
关于 Windows 启动更详细的信息,可以看:https://frendguo.com/how-to-boot-with-windows