工作管理員cpu顯示錯誤的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列問答集和資訊懶人包

軟件調試（第2版）卷2：Windows平臺調試（上下）

為了解決工作管理員cpu顯示錯誤的問題，作者張銀奎 這樣論述：

本書是國內當前集中介紹軟體調試主題的權威著作。本書第2卷分為5篇，共30章，主要圍繞Windows系統展開介紹。第一篇（第1~4章）介紹Windows系統簡史、進程和執行緒、架構和系統部件，以及Windows系統的啟動過程，既從空間角度講述Windows的軟體世界，也從時間角度描述Windows世界的搭建過程。第二篇（第5~8章）描述特殊的程序呼叫、墊片、託管世界和Linux子系統。第三篇（第9~19章）深入探討使用者態調試模型、使用者態調試過程、中斷和異常管理、未處理異常和JIT調試、硬錯誤和藍屏、錯誤報告、日誌、事件追蹤、WHEA、內核調試引擎和驗證機制。第四篇（第20~25章）從編譯和編

譯期檢查、運行時庫和運行期檢查、棧和函式呼叫、堆和堆檢查、異常處理代碼的編譯、調試符號等方面概括編譯器的調試支持。第五篇（第26~30章）首先縱覽調試器的發展歷史、工作模型和經典架構，然後分別討論集成在Visual Studio和Visual Studio（VS）Code中的調試器，最後深度解析WinDBG調試器的歷史、結構和用法。 本書理論與實踐結合，不僅涵蓋了相關的技術背景知識，還深入研討了大量具有代表性的技術細節，是學習軟體調試技術的珍貴資料。 本書適合所有從事軟體發展工作的讀者閱讀，特別適合從事軟體發展、測試和支持的技術人員閱讀。 張銀奎，國內知名的調試技術專家。

畢業于上海交通大學資訊與控制工程系，長期從事軟體發展和研究工作，曾在英特爾工作13年，對 IA-32 架構、作業系統內核、驅動程式，尤其是對軟體調試有較深入的研究。著有《軟體調試》《格蠹彙編》等暢銷、常銷技術圖書，格蠹科技（xedge.ai）創始人，高端調試網站（advdbg.org）創建者。翻譯（合譯）作品有《二十一世紀機器人》《觀止——微軟創建NT 和未來的奪命狂奔》《資料採擷原理》《機器學習》《人工智慧：複雜問題求解的結構和策略》等。 第一篇 大 局 觀 第 1 章 Windows 系統簡史 1.1 源於DOS 1.2 功在NT 1.3 Windows 2000 彰顯實

力 1.4 巔峰之作：Windows XP 和Windows Server 2003 1.5 Windows Vista 折戟沙場 1.6 Windows 7 享利中興 1.7 Windows 8 革新受挫 1.8 Windows 10 何去何從 1.9 本章總結 17 參考資料 第 2 章 進程和執行緒 2.1 任務 2.2 進程資源 2.3 進程空間 2.3.1 32 位元進程空間 2.3.2 64 位元進程空間 2.4 EPROCESS 結構 2.5 PEB.... 28 2.6 核心模式和使用者模式 2.6.1 訪問模式 2.6.2 使用INT 2E 切換到核心模式 2.6.3 快速系

統調用 2.6.4 逆向調用 2.6.5 實例分析 2.7 執行緒 2.7.1 ETHREAD 2.7.2 TEB 2.8 WoW 進程 2.8.1 架構 2.8.2 工作過程 2.8.3 註冊表重定向 2.8.4 註冊表反射 2.8.5 檔案系統重定向 2.9 創建進程 2.10 最小進程和Pico 進程 2.10.1 最小進程 2.10.2 Pico進程 2.11 工作管理員 2.12 本章總結 參考資料 第3 章 架構和系統部件 3.1 系統概覽 3.1.1 內核空間 3.1.2 用戶空間 3.2 內核和HAL 模組 3.2.1 內核文件 3.2.2 HAL文件 3.3 空閒進程 3.4

系統進程 3.5 內核空間的其他模組 3.6 NTDLL.DLL 3.6.1 角色 3.6.2 調用系統服務的樁函數 3.6.3 映射檔載入器 3.6.4 運行時庫 3.6.5 其他功能 3.7 環境子系統 3.8 原生進程 3.8.1 特點 3.8.2 SMSS 3.8.3 CSRSS 3.9 本章總結 參考資料 第4 章 啟動過程 4.1 BootMgr 4.1.1 工作過程 4.1.2 調試方法 4.2 WinLoad 4.3 內核初始化 4.3.1 NT 的入口函數 4.3.2 內核初始化 4.4 執行體的階段0 初始化 4.4.1 總體過程 4.4.2 創建特殊進程 4.5 執行體

的階段1 初始化 4.5.1 Phase1Initialization 4.5.2 喚醒其他CPU 4.5.3 非啟動CPU 的起步路線 4.5.4 漫長的I/O 初始化 4.5.5 更新進度 4.6 創建用戶空間 4.6.1 創建會話管理器進程 4.6.2 建立環境子系統 4.6.3 創建窗口站和桌面 4.6.4 用戶登錄 4.7 本章總結 參考資料 第二篇 探 微 第5 章 特殊的程式呼叫 5.1 非同步程式呼叫 5.2 插斷要求級別 5.2.1 設計初衷 5.2.2 基本原理 5.2.3 析疑 5.3 延遲程式呼叫 5.3.1 使用模式 5.3.2 黏滯在DPC 5.4 本地程式呼叫

5.5 遠程程式呼叫 5.5.1 工作模型 5.5.2 RPC 子系統服務 5.5.3 端點和協議串 5.5.4 蜂巢 5.5.5 案例和調試方法 5.6 本章總結 參考資料 第6 章 墊片 6.1 墊片資料庫 6.1.1 認識SDB檔 6.1.2 定制的SDB文件 6.1.3 修補模式 6.2 AppHelp 6.2.1 SDB 功能 6.2.2 墊片引擎 6.2.3 AD 掛鉤 6.2.4 穿山甲掛鉤 6.3 墊片動態庫 6.3.1 AcLayers.DLL 6.3.2 AcGenral.DLL 和AcSpecfc.DLL 6.3.3 其他墊片模組 6.4 應用程式墊片的工作過程 6.4.

1 在父進程中準備墊片資料 6.4.2 在新進程中載入和初始化墊片引擎 6.4.3 載入墊片模組 6.4.4 落實掛鉤 6.4.5 執行墊片 6.5 內核墊片引擎 6.5.1 資料和配置 6.5.2 初始化 6.5.3 KSE 墊片結構 6.5.4 註冊墊片 6.5.5 部署墊片 6.5.6 執行墊片 6.6 本章總結 參考資料 第7 章 託管世界 7.1 簡要歷史 7.2 宏偉藍圖 7.3 類和方法表 7.4 輔助調試執行緒 7.4.1 託管調試模型 7.4.2 RCThread 7.4.3 刺探執行緒 7.5 CLR4 的調試模型重構 7.6 SOS 擴展 7.6.1 載入SOS 7.6.

2 設置中斷點 7.6.3 簡要原理 7.7 本章總結 參考資料 第8 章 Linux子系統 8.1 源於Drawbridge 8.2 融入NT 8.3 總體架構 8.4 子系統內核模組 8.5 微軟版Linux 內核 8.6 Linux 子系統伺服器 8.7 WSL 啟動器 8.8 交叉開發 8.9 WSL2 8.10 本章總結 參考資料 第三篇 作業系統的調試支援 第9 章 使用者態調試模型 9.1 概覽 9.1.1 參與者 9.1.2 調試子系統 9.1.3 調試事件驅動 9.2 採集調試消息 9.2.1 消息常量 9.2.2 進程和執行緒創建消息 9.2.3 進程和執行緒退出消息 9

.2.4 模組映射和反映射消息 9.2.5 異常消息 9.3 發送調試消息 9.3.1 調試消息結構 9.3.2 DbgkpSendApiMessage函數 9.3.3 控制被調試進程 9.4 調試子系統伺服器（Windows XP 之後） 9.4.1 DebugObject 9.4.2 創建調試對象 9.4.3 設置調試對象 9.4.4 傳遞調試消息 9.4.5 杜撰的調試消息 9.4.6 清除調試對象 9.4.7 內核服務 9.4.8 全景 9.5 調試子系統伺服器（Windows XP 之前） 9.5.1 概覽 9.5.2 Windows 會話管理器 9.5.3 Windows 環境子系

統伺服器進程 9.5.4 調用CSRSS 的服務 9.5.5 CsrCreateProcess 服務 9.5.6 CsrDebugProcess 服務 9.6 比較兩種模型 9.6.1 Windows 2000 調試子系統的優點 9.6.2 Windows 2000 調試子系統的安全問題 9.6.3 Windows XP 的調試模型的優點 9.6.4 Windows XP 引入的新調試功能 9.7 NTDLL.DLL 中的調試支援常式 9.7.1 DbgUi 函數 9.7.2 DbgSs 函數 9.7.3 Dbg 函數 9.8 調試API 9.9 本章總結 參考資料 第10 章 用戶態調試過程

10.1 調試器進程 10.1.1 執行緒模型 10.1.2 調試器的工作執行緒 10.1.3 DbgSsReserved 欄位 10.2 被調試進程 10.2.1 特徵 10.2.2 DebugPort 欄位 10.2.3 BeingDebugged 欄位 10.2.4 觀察DebugPort 欄位和BeingDebugged 欄位 10.2.5 調試會話 10.3 從調試器中啟動被偵錯工具 10.3.1 CreateProcess API 10.3.2 第 一批調試事件 10.3.3 初始中斷點 10.3.4 自動啟動調試器 10.4 附加到已經啟動的進程中 10.4.1 DebugAc

tiveProcess API 10.4.2 示例：TinyDbgr 程式 10.5 處理調試事件 10.5.1 DEBUG_EVENT 結構 10.5.2 WaitForDebugEvent API 10.5.3 調試事件迴圈 10.5.4 回復調試事件 10.5.5 定制調試器的事件處理方式 10.6 中斷到調試器 10.6.1 初始中斷點 10.6.2 程式設計時加入中斷點 10.6.3 通過調試器設置中斷點 10.6.4 通過遠端執行緒觸發中斷點異常 10.6.5 在執行緒當前執行位置設置中斷點 10.6.6 動態調用遠端函數 10.6.7 掛起中斷 10.6.8 調試快速鍵（F12

鍵） 10.6.9 窗口更新 10.7 輸出調試字串 10.7.1 發送調試資訊 10.7.2 使用調試器接收調試資訊 10.7.3 使用工具接收調試資訊 10.8 終止調試會話 10.8.1 被調試進程退出 10.8.2 調試器進程退出 10.8.3 分離被調試進程 10.8.4 退出時分離 10.9 本章總結 參考資料 第 11 章 中斷和異常管理 11.1 中斷描述符表 11.1.1 概況 11.1.2 門描述符 11.1.3 執行中斷和異常處理函數 11.1.4 IDT 一覽 11.2 異常的描述和登記 11.2.1 EXCEPTION_RECORD結構 11.2.2 登記CPU 異常

11.2.3 登記軟體異常 11.3 異常分發過程 11.3.1 KiDispatchException 函數 11.3.2 內核態異常的分發過程 11.3.3 用戶態異常的分發過程 11.3.4 歸納 11.4 結構化異常處理 11.4.1 SEH 簡介 11.4.2 SHE 機制的終結處理 11.4.3 SEH 機制的異常處理 11.4.4 過濾運算式 11.4.5 異常處理塊 11.4.6 嵌套使用終結處理和異常處理 11.5 向量化異常處理 11.5.1 登記和註銷 11.5.2 調用結構化異常處理器 11.5.3 示例 11.6 本章總結 參考資料 第 12 章 未處理異常和JIT

調試 12.1 簡介 12.2 默認的異常處理器 12.2.1 BaseProcessStart 函數中的結構化異常處理器 12.2.2 編譯器插入的SEH 處理器 12.2.3 基於信號的異常處理 12.2.4 實驗：觀察默認的異常處理器 12.2.5 BaseThreadStart 函數中的結構化異常處理器 12.3 未處理異常過濾函數 12.3.1 Windows XP 之前的異常處理機制 12.3.2 Windows XP 中的異常處理機制 12.4 “應用程式錯誤”對話方塊 12.4.1 用HardError 機制提示應用程式錯誤 12.4.2 使用ReportFault API

提示應用程式錯誤 12.5 JIT 調試和Dr. Watson 12.5.1 配置JIT 調試器 12.5.2 啟動JIT 調試器 12.5.3 自己編寫JIT 調試器 12.6 頂層異常過濾函數 12.6.1 註冊 12.6.2 C 運行時庫的頂層過濾函數 12.6.3 執行 12.6.4 調試 12.7 Dr. Watson 12.7.1 配置和查看模式 12.7.2 設置為默認的JIT 調試器 12.7.3 JIT 調試模式 12.8 DRWTSN32 的日誌檔 12.8.1 異常資訊 12.8.2 系統資訊 12.8.3 任務列表 12.8.4 模組清單 12.8.5 執行緒狀態 12

.8.6 函式呼叫序列 12.8.7 原始棧資料 12.9 用戶態轉儲檔 12.9.1 檔案格式概覽 12.9.2 資料流程 12.9.3 產生轉儲檔 12.9.4 讀取轉儲文件 12.9.5 利用轉儲檔分析問題 12.10 本章總結 參考資料 第 13 章 硬錯誤和藍屏 13.1 硬錯誤提示 13.1.1 缺盤錯誤 13.1.2 NtRaiseHardError 13.1.3 ExpRaiseHardError 13.1.4 CSRSS 中的分發過程 13.2 藍屏終止 13.2.1 簡介 13.2.2 發起和產生過程 13.2.3 診斷藍屏錯誤 13.2.4 手工觸發藍屏 13.3 系統轉

儲檔 13.3.1 分類 13.3.2 檔案格式 13.3.3 產生方法 13.4 分析系統轉儲檔 13.4.1 初步分析 13.4.2 執行緒和棧回溯 13.4.3 陷阱幀 13.4.4 自動分析 13.5 輔助的錯誤提示方法 13.5.1 MessageBeep 13.5.2 Beep 函數 13.5.3 閃動窗口 13.6 配置錯誤提示機制 13.6.1 SetErrorMode API 13.6.2 IoSetThreadHardErrorMode 13.6.3 藍屏後自動重啟 13.7 防止濫用錯誤提示機制 13.8 本章總結 參考資料 第 14 章 錯誤報告 14.1 WER 1.

0 14.1.1 用戶端 14.1.2 報告模式 14.1.3 傳輸方式 14.2 系統錯誤報告 14.3 WER 伺服器端 14.3.1 WER 服務 14.3.2 錯誤報告分類方法 14.3.3 報告回應 14.4 WER 2.0 14.4.1 模組變化 14.4.2 創建報告 14.4.3 提交報告 14.4.4 典型應用 14.5 CER 14.6 本章總結 參考資料 第 15 章 日誌 15.1 日誌簡介 15.2 ELF 的架構 15.2.1 ELF 的日誌檔 15.2.2 事件源 15.2.3 ELF 服務 15.3 ELF 的資料組織350 15.3.1 日誌記錄 15.3.2

添加日誌記錄 15.3.3 API 一覽 15.4 查看和使用ELF 日誌 15.5 CLFS 的組成和原理 15.5.1 組成 15.5.2 存儲結構 15.5.3 LSN 15.6 CLFS 的使用方法 15.6.1 創建日誌檔 15.6.2 添加CLFS 容器 15.6.3 創建編組區 15.6.4 添加日誌記錄 15.6.5 讀日誌記錄 15.6.6 查詢資訊 15.6.7 管理和備份 15.7 本章總結 參考資料 第 16 章 事件追蹤 16.1 簡介 16.2 ETW 的架構 16.3 提供ETW消息 16.4 控制ETW會話 16.5 消耗ETW消息 16.6 格式描述 16.

6.1 MOF文件 16.6.2 WPP 16.7 NT 內核記錄器 16.7.1 觀察NKL的追蹤事件 16.7.2 編寫代碼控制NKL 16.7.3 NKL 的實現 16.8 Global Logger Session 16.8.1 啟動GLS 會話 16.8.2 配置GLS 16.8.3 在驅動程式中使用GLS 16.8.4 自動記錄器 16.8.5 BootVis 工具 16.9 Crimson API 16.9.1 發佈事件 16.9.2 消耗事件 16.9.3 格式描述 16.9.4 收集和觀察事件 16.9.5 Crimson API 的實現 16.10 本章總結 參考資料 第

17 章 WHEA 17.1 目標、架構和PSHED.DLL 17.1.1 目標 17.1.2 架構 17.1.3 PSHED.DLL 17.2 錯誤源 17.2.1 標準的錯誤源 17.2.2 通過ACPI 表來定義錯誤源 17.2.3 通過PSHED 外掛程式來報告錯誤源 17.3 錯誤處理過程 17.3.1 WHEA_ERROR_PACKET結構 17.3.2 處理過程 17.3.3 WHEA_ERROR_RECORD結構 17.3.4 固件優先模式 17.4 錯誤持久化 17.4.1 ERST 17.4.2 工作過程 17.5 注入錯誤 17.6 本章總結 參考資料 第 18 章 內核

調試引擎 18.1 概覽 18.1.1 KD 18.1.2 角色 18.1.3 組成 18.1.4 模組檔 18.1.5 版本差異 18.2 連接 18.2.1 序列埠 18.2.2 1394 18.2.3 USB 2.0 18.2.4 管道 18.2.5 選擇連接方式 18.2.6 解決連接問題 18.3 啟用 18.3.1 BOOT.INI 18.3.2 BCD 18.3.3 高級啟動選項 18.4 初始化 18.4.1 Windows 系統啟動過程概述 18.4.2 第 一次調用KdInitSystem 18.4.3 第二次調用KdInitSystem 18.4.4 通信擴展模組的階段1

初始化 18.5 內核調試協議 18.5.1 數據包 18.5.2 報告狀態變化 18.5.3 訪問目標系統 18.5.4 恢復目標系統執行 18.5.5 版本 18.5.6 典型對話過程 18.5.7 KdTalker 18.6 與內核交互 18.6.1 中斷到調試器 18.6.2 KdpSendWaitContinue 18.6.3 退出調試器 18.6.4 輪詢中斷包 18.6.5 接收和報告異常事件 18.6.6 調試服務 18.6.7 列印調試資訊 18.6.8 載入調試符號 18.6.9 更新系統檔 18.7 建立和維持連接 18.7.1 最早的調試機會 18.7.2 初始中斷點

18.7.3 斷開和重新建立連接 18.8 本地內核調試 18.8.1 LiveKD 18.8.2 Windows 系統自己的本地內核調試支援 18.8.3 安全問題 18.9 本章總結 參考資料 第 19 章 驗證機制 19.1 簡介 19.1.1 驅動程式驗證器 19.1.2 應用程式驗證器 19.1.3 WHQL 測試 19.2 驅動驗證器的工作原理 19.2.1 設計原理 19.2.2 初始化 19.2.3 掛接驗證函數 19.2.4 驗證函數的執行過程 19.2.5 報告驗證失敗 19.3 使用驅動驗證器 19.3.1 驗證項目 19.3.2 啟用驅動驗證器 19.3.3 開始驗證

19.3.4 觀察驗證情況 19.3.5 WinDBG 的擴展命令 19.4 應用程式驗證器的工作原理 19.4.1 原理和組成 19.4.2 初始化 19.4.3 掛接API 19.4.4 驗證函數的執行過程 19.4.5 報告驗證失敗 19.4.6 驗證停頓 19.5 使用應用程式驗證器 19.5.1 應用驗證管理器 19.5.2 驗證項目 19.5.3 配置驗證屬性 19.5.4 配置驗證停頓 19.5.5 程式設計調用 19.5.6 調試擴展 19.6 本章總結 參考資料 第四篇 編譯器的調試支持 第 20 章 編譯和編譯期檢查 20.1 程式的構建過程 20.1.1 連結器 20.

1.2 載入器 20.2 編譯 20.2.1 前端 20.2.2 後端 20.3 Visual C++編譯器 20.3.1 MSVC 簡史 20.3.2 MSVC6 20.3.3 VS7 和VS8 20.3.4 構建程式 20.3.5 調試 20.4 編譯錯誤和警告 20.4.1 錯誤ID 和來源 20.4.2 編譯警告 20.5 編譯期檢查 20.5.1 未初始化的區域變數 20.5.2 類型不匹配 20.5.3 使用編譯器指令 20.5.4 標注 20.5.5 驅動程式靜態驗證器 20.6 標準標注語言 20.6.1 緩衝區標注符 20.6.2 高級標注符 20.7 本章總結 參考資料.

第 21 章 運行時庫和運行期檢查 21.1 C/C++運行時庫 21.1.1 C 運行時庫 21.1.2 C++標準庫 21.2 連結運行時庫 21.2.1 靜態連結和動態連結 21.2.2 lib 文件 21.3 運行時庫的初始化和清理 21.3.1 介入方法 21.3.2 初始化 21.3.3 多個運行時庫實例 21.4 運行期檢查 21.4.1 自動的運行期檢查 21.4.2 斷言 21.4.3 _RPT 宏 21.5 報告運行期檢查錯誤 21.5.1 _CrtDbgReport 21.5.2 _CrtSetReportMode 21.5.3 _CrtSetReportFile 21.

5.4 _CrtSetReportHook 493 21.5.5 _CrtSetReportHook2 21.5.6 使用其他函數報告RTC錯誤 21.6 本章總結 參考資料 第 22 章 棧和函式呼叫 22.1 簡介 22.1.1 用戶態棧和內核態棧 22.1.2 函數、過程和方法 22.2 棧的創建過程 22.2.1 內核態棧的創建 22.2.2 用戶態棧的創建 22.2.3 跟蹤用戶態棧的創建過程 22.3 CALL 和RET 指令 22.3.1 CALL 指令 22.3.2 RET 指令 22.3.3 觀察函式呼叫和返回過程 22.3.4 跨特權級調用 22.4 區域變數和棧幀 22.

4.1 區域變數的分配和釋放 22.4.2 EBP 寄存器和棧幀 22.4.3 幀指針和棧幀的遍歷 22.5 幀指針省略 22.6 棧指針檢查 22.7 調用協定 22.7.1 C 調用協定 22.7.2 標準調用協定 22.7.3 快速調用協定 22.7.4 This 調用協定 22.7.5 CLR 調用協定 22.7.6 x64 調用協定 22.7.7 通過編譯器開關改變預設調用協定 22.7.8 函數返回值 22.7.9 歸納和補充 22.8 棧空間的增長和溢出 22.8.1 棧空間的自動增長 22.8.2 棧溢出 22.8.3 分配檢查 22.9 棧下溢 22.10 緩衝區溢位 22.

10.1 感受緩衝區溢位 22.10.2 緩衝區溢位攻擊 22.11 變數檢查 22.12 基於Cookie 的安全檢查 22.12.1 安全Cookie 的產生、植入和檢查 22.12.2 報告安全檢查失敗 22.12.3 編寫安全的代碼 22.13 本章總結 參考資料 第 23 章 堆和堆檢查 23.1 理解堆 23.2 堆的創建和銷毀 23.2.1 進程的預設堆 23.2.2 創建私有堆 23.2.3 堆列表 23.2.4 銷毀堆 23.3 分配和釋放堆塊 23.3.1 HeapAlloc 23.3.2 CRT 分配函數 23.3.3 釋放從堆中分配的記憶體 23.3.4 GlobalA

lloc 和LocalAlloc 23.3.5 解除提交 23.4 堆的內部結構 23.4.1 結構和佈局 23.4.2 HEAP 結構 23.4.3 HEAP_SEGMENT結構 23.4.4 HEAP_ENTRY結構 23.4.5 分析堆塊的分配和釋放過程 23.4.6 使用!heap 命令觀察堆塊資訊 23.5 低碎片堆 23.6 堆的調試支持 23.6.1 全域標誌 23.6.2 堆釋放檢查 23.7 棧回溯資料庫 23.7.1 工作原理 23.7.2 DH 和UMDH工具 23.7.3 定位記憶體洩漏 23.8 堆溢出和檢測 23.8.1 堆緩衝區溢位 23.8.2 調用時驗證 23

.8.3 堆尾檢查 23.9 頁堆 23.9.1 總體結構 23.9.2 啟用和觀察頁堆 23.9.3 堆塊結構 23.9.4 檢測溢出 23.10 准頁堆 23.10.1 啟用准頁堆 23.10.2 結構佈局 23.10.3 檢測溢出 23.11 CRT 堆 23.11.1 CRT 堆的3 種模式 23.11.2 SBH 簡介 23.11.3 創建和選擇模式 23.11.4 CRT 堆的終止 23.12 CRT 堆的調試堆塊 23.12.1 _CrtMemBlockHeader結構 23.12.2 塊類型 23.12.3 分配堆塊 23.13 CRT 堆的調試功能 23.13.1 記憶體分配

序號中斷點 23.13.2 分配掛鉤 23.13.3 自動和手動檢查 23.14 堆塊轉儲 23.14.1 記憶體狀態和檢查點 23.14.2 _CrtMemDumpAllObjectsSince 23.14.3 轉儲掛鉤 23.15 洩漏轉儲 23.15.1 _CrtDumpMemoryLeaks 23.15.2 何時調用 23.15.3 定位導致洩漏的原始程式碼 23.16 本章總結 參考資料 第 24 章 異常處理代碼的編譯 24.1 概覽 24.2 FS：[0]鏈條 24.2.1 TEB 和TIB 結構 24.2.2 ExceptionList 欄位 24.2.3 登記異常處理器 24

.3 遍歷FS：[0]鏈條 24.3.1 RtlDispatchException 24.3.2 KiUserExceptionDispatcher 24.4 執行異常處理函數 24.4.1 SehRaw 實例 24.4.2 執行異常處理函數 24.5 _ _ try{}_ _ except()結構 24.5.1 與手工方法的對應關係 24.5.2 _ _ try{}_ _ except()結構的編譯 24.5.3 範圍表 24.5.4 TryLevel 24.5.5 _ _ try{}_ _ except()結構的執行 24.5.6 _SEH_prolog 和_SEH_epilog 24.6

安全問題 24.6.1 安全Cookie 24.6.2 SAFESEH 24.6.3 基於表的異常處理 24.7 本章總結 參考資料 第 25 章 調試符號 25.1 名稱修飾 25.1.1 C 和C++ 25.1.2 C 的名稱修飾規則 25.1.3 C++的名稱修飾規則 25.2 調試資訊的存儲格式 25.2.1 COFF格式 25.2.2 CodeView 格式 25.2.3 PDB格式 25.2.4 DWARF格式 25.3 目的檔案中的調試資訊 25.3.1 IMAGE_FILE_HEADER結構 25.3.2 IMAGE_SECTION_HEADER結構 25.3.3 節的重定位

資訊和行號資訊 25.3.4 存儲調試資料的節 25.3.5 調試符號表 25.3.6 COFF 字串表 25.3.7 COFF 符號例析 25.4 PE 檔中的調試資訊 25.4.1 PE 文件佈局 25.4.2 IMAGE_OPTIONAL_HEADER結構 25.4.3 調試資料目錄 25.4.4 調試數據 25.4.5 使用WinDBG 觀察PE 檔中的調試資訊 25.4.6 調試資訊的產生過程 25.5 DBG 文件 25.5.1 從PE 檔產生DBG 檔 25.5.2 DBG 文件的佈局 25.6 PDB 文件 25.6.1 複合檔案 25.6.2 PDB 文件佈局 25.6.3

PDB 簽名 25.6.4 Magic 代碼 25.6.5 PDB_HEADER 25.6.6 根資料流程——流目錄 25.6.7 頁分配表 25.6.8 訪問PDB 檔的方式 25.6.9 PDB 檔的產生過程 25.7 有關的編譯和連結選項 25.7.1 控制調試資訊的編譯選項 25.7.2 控制調試資訊的連結選項 25.7.3 不同連結和編譯選項的比較 25.8 PDB 文件中的資料表 25.8.1 符號表 25.8.2 原始檔案表 25.8.3 節貢獻表 25.8.4 段信息表 25.8.5 注入原始程式碼表 25.8.6 幀資料表 25.9 本章總結 參考資料 第五篇 調 試 器

第 26 章 調試器概覽 26.1 TX-0 電腦和FLIT調試器 26.2 小型機和DDT調試器 26.2.1 PDP-1 26.2.2 TOPS-10 作業系統和 DDT-10 26.3 個人電腦和它的調試器 26.3.1 8086 Monitor 26.3.2 SYMDEB 26.3.3 CodeView調試器 26.3.4 Turbo Debugger 26.3.5 SoftICE 26.4 調試器的功能 26.4.1 建立和終止調試會話 26.4.2 控制被偵錯工具執行 26.4.3 訪問記憶體 26.4.4 訪問寄存器 26.4.5 中斷點 26.4.6 跟蹤執行 26.4.7 觀

察棧和棧回溯 26.4.8 彙編和反彙編 26.4.9 原始程式碼級調試..685 26.4.10 EnC 26.4.11 文件管理 26.4.12 接收和顯示調試資訊 26.4.13 轉儲 26.5 分類標準 26.5.1 特權級別 26.5.2 作業系統 26.5.3 執行方式 26.5.4 處理器架構 26.5.5 程式設計語言688 26.6 實現模型 26.6.1 進程內調試模型 26.6.2 進程外調試模型 26.6.3 混合調試模型 26.6.4 內核調試模型 26.7 經典架構 26.7.1 基本單元 26.7.2 遠程調試 26.7.3 多語言和多處理器架構調試 26.8 H

PD 標準 26.8.1 HPD 標準簡介 26.8.2 動作點 26.8.3 進程和執行緒的表示和命名 26.8.4 命令 26.9 本章總結 參考資料 第 27 章 VsDebug 27.1 架構和調試模型 27.1.1 架構概覽 27.1.2 遠程調試器 27.1.3 本地調試器 27.2 VS 調試引擎 27.2.1 一套介面，多種實現 27.2.2 核心類 27.3 工作過程 27.3.1 開始調試32 位元本地程式 27.3.2 開始調試64 位元本地程式 27.3.3 訪問調試目標 27.4 使用中斷點 27.4.1 根據名稱設置中斷點 27.4.2 數據中斷點 27.4.3 附

加條件 27.4.4 附加操作 27.5 多執行緒調試 27.5.1 並行棧回溯 27.5.2 並行監視 27.5.3 凍結執行緒 27.6 EnC 27.6.1 應用過程 27.6.2 要求/ZI 編譯選項 27.6.3 下次調用生效 27.6.4 應用失敗 27.7 設計期調試 27.8 使用符號伺服器 27.9 定制調試事件 27.9.1 初始中斷點 27.9.2 異常設置 27.10 本章總結 參考資料 第 28 章 VS Code 的調試擴展 28.1 簡介 28.2 四大技術 28.3 理解“擴展包” 28.3.1 包類型 28.3.2 安裝 28.3.3 工作原理 28.4 擴展

包API 28.4.1 貢獻點 28.4.2 命令 28.4.3 啟動事件 28.5 調試模型 28.5.1 貢獻調試器 28.5.2 宏觀架構 28.6 調試適配器 28.6.1 DA 描述符工廠 28.6.2 進程內DA 28.6.3 vsdbg 28.6.4 OpenDebugAD7 28.7 機器介面 28.7.1 啟用用法 28.7.2 對話示例 28.7.3 MIEngine 28.8 調試Python 程式 28.8.1 PTVSD 28.8.2 發起異常時中斷 28.9 本章總結 參考資料 第 29 章 WinDBG 及其實現 29.1 WinDBG 溯源 29.1.1 KD

和NTSD 誕生 29.1.2 WinDBG 誕生 29.1.3 發行方式 29.1.4 版本歷史 29.2 C 階段的架構 29.2.1 功能模組 29.2.2 遠程調試 29.3 重構 29.3.1 版本歷史 29.3.2 介面變化 29.3.3 模組變化 29.3.4 發佈方式和NTSD 問題 29.3.5 文件 29.4 調試器引擎的架構 29.4.1 概覽 29.4.2 對外介面 29.4.3 DebugClient 類 29.4.4 中間層 29.4.5 服務層 29.4.6 傳輸和連接層 29.5 調試目標 29.5.1 TargetInfo 類 29.5.2 使用者態目標 29

.5.3 內核態目標 29.5.4 轉儲檔目標 29.6 調試會話 29.6.1 建立調試會話 29.6.2 調試迴圈 29.6.3 等待和處理調試事件 29.6.4 繼續調試事件 29.6.5 結束調試會話 29.7 接收和處理命令 29.7.1 調試器的兩種工作狀態 29.7.2 進入命令狀態 29.7.3 執行命令 29.7.4 結束命令狀態 29.8 擴展命令的工作原理 29.9 本章總結 參考資料 第30 章 WinDBG 用法詳解 30.1 工作空間 30.2 命令概覽 30.2.1 標準命令 30.2.2 元命令 30.2.3 擴展命令 30.3 使用者介面 30.3.1 窗口概

覽 30.3.2 命令窗口和命令提示符 30.4 輸入和執行命令 30.4.1 要點 30.4.2 運算式 30.4.3 偽寄存器 30.4.4 別名 30.4.5 迴圈和條件執行 30.4.6 進程限定詞和執行緒限定詞 30.4.7 記錄到檔 30.5 建立調試會話 30.5.1 附加到已經運行的進程 30.5.2 創建並調試新的進程 30.5.3 非入侵式調試 30.5.4 雙機內核調試 30.5.5 本地內核調試 30.5.6 調試轉儲文件 30.5.7 遠程調試 30.6 終止調試會話 30.6.1 停止調試 30.6.2 分離調試目標 30.6.3 拋棄被調試進程 30.6.4 終止

被調試進程 30.6.5 調試器終止或僵死 30.6.6 重新開始調試 30.7 理解上下文 30.7.1 登錄會話上下文 30.7.2 進程上下文 30.7.3 寄存器上下文 30.7.4 局部（變數）上下文 30.8 調試符號 30.8.1 重要意義 30.8.2 符號搜索路徑 30.8.3 符號伺服器 30.8.4 載入符號檔 30.8.5 觀察模組資訊 30.8.6 檢查符號 30.8.7 搜索符號 30.8.8 設置符號選項 30.8.9 載入不嚴格匹配的符號檔 30.9 事件處理 30.9.1 調試事件與異常的關係 30.9.2 兩輪機會 30.9.3 定制事件處理方式 30.9.

4 GH 和GN 命令 30.9.5 實驗 30.10 控制調試目標 30.10.1 初始中斷點 30.10.2 俘獲調試目標 30.10.3 繼續運行 30.11 單步執行 30.11.1 概覽 30.11.2 單步執行到指定位址 30.11.3 單步執行到下一個函式呼叫 30.11.4 單步執行到下一分支 30.11.5 追蹤並監視 30.11.6 程式指標飛躍 30.11.7 歸納 30.12 使用中斷點 30.12.1 軟體中斷點 30.12.2 硬體中斷點 30.12.3 條件中斷點 30.12.4 位址表達方法 30.12.5 設置針對執行緒的中斷點 30.12.6 管理中斷點 3

0.13 控制進程和執行緒 30.13.1 MulThrds 程式 30.13.2 控制執行緒執行824 30.13.3 多進程調試 30.14 觀察棧 30.14.1 顯示棧回溯 30.14.2 觀察棧變數 30.15 分析記憶體 30.15.1 顯示記憶體區域 30.15.2 顯示字串 30.15.3 顯示資料類型 30.15.4 搜索記憶體 30.15.5 修改記憶體 30.15.6 使用實體記憶體位址 30.15.7 觀察記憶體屬性 30.16 遍歷鏈表 30.16.1 結構定義 30.16.2 雙向鏈表示例 30.16.3 單向鏈表示例 30.16.4 dl 命令 30.16.5 !

list 命令 30.17 調用目的程式的函數 30.17.1 調用示例 30.17.2 工作原理 30.17.3 限制條件和常見錯誤. 30.18 命令程式 30.18.1 流程控制符號 30.18.2 變數 30.18.3 命令程式示例 30.18.4 執行命令程式 30.19 本章總結 參考資料 附錄A 示例程式清單 附錄B WinDBG 標準命令列表 附錄C NT 內核部件縮寫列表 持之若癡——代跋

開源安全運維平台OSSIM疑難解析（入門篇）

為了解決工作管理員cpu顯示錯誤的問題，作者李晨光 這樣論述：

OSSIM（Open Source Security Information Management，開源安全資訊管理）系統是一個非常流行和完整的開源安全架構體系，通過將開源產品進行集成，從而提供一種能實現安全監控功能的基礎平臺。 《開源安全運維平臺OSSIM疑難解析：入門篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難問題，並給出了相應的解決方案。本書共分為10章，內容包括SIEM與網路安全態勢感知、OSSIM部署基礎、安裝OSSIM伺服器、OSSIM系統維護與管理、OSSIM組成結構、感測器、外掛程式處理、SIEM控制台操作、視覺化報警以及OSSIM資料庫等。   《開源安全運維平臺

OSSIM疑難解析：入門篇》適合具有一定SIEM系統實施經驗的技術經理或中運維工程師閱讀，還可以作為開源技術研究人員、網路安全管理人員的參考資料。 李晨光 OSSIM佈道師、網路架構師、UNIX/Linux系統安全專家、中國電腦學會會員。他寫作的《Linux企業應用案例精解》《UNIX/Linux網路日誌分析與流量監控》《開源安全運維平臺OSSIM實踐》在圖書市場上具有相當搶眼的表現與上佳口碑，且中文繁體字版本也被輸出到中國臺灣。 李晨光先生還是51CTO、ChinaUnix、OSchina等社區的專家博主，撰寫的技術博文被國內各大IT技術社區廣泛轉載，還曾多次受邀在國內

系統架構師大會和網路資訊安全大會上發表技術演講。 第1章　SIEM與網路安全態勢感知 1 Q001　什麼是SIEM？ 1 Q002　SIEM處理流程是什麼？ 1 Q003　SIEM基本特徵分為幾個部分，技術門檻是什麼，有哪些商業產品？ 2 Q004　SIEM中的安全運維模組包含哪些主要內容？ 3 Q005　為什麼要選擇OSSIM作為運維監控平臺？ 4 Q006　在OSSIM架構中為何要引入威脅情報系統？ 8 Q007　在OSSIM中OTX代表什麼含義？ 9 Q008　為什麼要對IP進行信譽評級？ 9 Q009　如何啟動OTX功能？ 9 Q010　如何手動更新IP信譽資料並查

看這些資料？ 11 Q011　如何讀懂IP信譽資料庫的記錄格式？ 11 Q012　為什麼在流覽器中無法顯示由穀歌地圖繪製的AlienVaultIP信譽資料？ 12 Q013　OSSIM使用的Google Maps API在什麼位置？ 12 Q014　在OSSIM系統中成功添加OTX key之後，為何儀錶盤上沒有顯示？ 12 Q015　將已申請的OTX key導入OSSIM系統時，為何提示連接失敗？ 13 Q016　外部威脅情報和內部威脅情報分別來自何處？ 14 Q017　如何利用OSSIM系統內置的威脅情報識別網路APT攻擊事件？ 15 Q018　OpenSOC的組成結構和主要功能是什麼，它和

OSSIM之間的區別是什麼？ 15 Q019　Apache Metron是新生代的OpenSOC嗎？部署難度大嗎？ 17 第2章　OSSIM部署基礎 20 Q020　OSSIM主要版本的演化過程是怎樣的？ 20 Q021　如何關閉和重啟OSSIM？ 23 Q022　OSSIM屬於大資料平臺嗎？ 24 Q023　OSSIM能作為堡壘機使用嗎？ 24 Q024　堡壘機的Syslog日誌能否轉發至OSSIM統一存儲？ 25 Q025　OSSIM平臺屬於CPU密集型、I/O密集型還是記憶體密集型系統？ 25 Q026　OSSIM平臺開發了哪些專屬程式？ 26 Q027　Kali Linux和OSSI

M有什麼區別？ 27 Q028　安裝OSSIM伺服器元件時是否包含了感測器元件？ 28 Q029　OSSIM能否安裝在XEN或KVM虛擬化系統上？ 29 Q030　OSSIM如何處理海量資料？ 29 Q031　OSSIM是基於Debian Linux開發的，能否將其安裝在其他Linux發行版本上，例如RHAS、CentOS、SUSE Linux？ 29 Q032　分散式OSSIM系統感測器如何部署？ 29 Q033　OSSIM可輸出的報表有哪些類型？ 30 Q034　在OSSIM 3中通過什麼技術可實現報表預覽功能？ 31 Q035　OSSIM企業版中可輸出哪些類型的報表？ 31 Q036　O

SSIM能否用於APT和ShellCode高級攻擊檢測？ 32 Q037　如何部署分散式OSSIM平臺？ 34 Q038　OSSIM系統中哪些服務是單執行緒，哪些服務是多執行緒？ 34 Q039　如何查看ossim-agent進程正在調用的檔？ 35 Q040　在分散式環境中如何添加感測器？ 36 Q041　為何新添加的感測器在Web UI上無法顯示NetFlow流？ 38 Q042　如何查看某個進程打開了哪些檔？ 41 Q043　如何監聽系統中某個使用者的網路活動？ 41 Q044　OSSIM經過防火牆時，需要打開哪些埠？ 42 第3章　安裝OSSIM伺服器 45 Q045　如何通過U盤安

裝OSSIM系統？ 45 Q046　如何克隆OSSIM虛擬機器以及為虛擬機器設置克隆？ 45 Q047　在安裝OSSIM時，命令列下面的提示資訊保存在什麼位置？ 47 Q048　執行alienvault-update命令升級後，為什麼原來的配置會被覆蓋？ 48 Q049　執行alienvault-update命令升級之後，快取檔案如何清除？ 48 Q050　如何選擇OSSIM伺服器？ 48 Q051　安裝OSSIM時能識別硬碟，但無法識別網卡，該如何處理？ 49 Q052　選擇OSSIM伺服器硬體時，需要注意些什麼問題？ 49 Q053　安裝OSSIM時需要插網線嗎？ 50 Q054　初裝OS

SIM時僅配置了單塊網卡，後期需要再新增一塊網卡，該如何操呢？ 50 Q055　安裝OSSIM時需要選擇多核CPU還是單核CPU？CPU內核的數量越多越好嗎？ 51 Q056　如何為OSSIM伺服器/感測器選擇網卡？ 51 Q057　OSSIM為何只能識別出2TB以內的硬碟？ 52 Q058　如何在OSSIM下安裝GCC編譯工具？ 52 Q059　如何手動載入網卡驅動？ 52 Q060　在虛擬機器下安裝OSSIM結束後重啟系統，結果系統一直停在啟動介面，這該如何處理？ 53 Q061　OSSIM安裝完成後，如何設置Web UI來初始化設置嚮導？ 53 Q062　如何通過CSV格式的檔導入多個網

段資訊？ 58 Q063　如何通過檔導入網路資產？ 59 Q064　在OSSIM配置嚮導中，報告無法找到網段內的伺服器，該如何處理？ 60 Q065　如何再次調出Web UI初始化配置嚮導？ 60 Q066　如果跳過了Web配置嚮導，如何通過Web介面安裝OSSEC Agent？ 61 Q067　在Hyper-V 3.0中安裝OSSIM 5.4時，在Suricata配置過程中“卡住了”該如何處理？ 62 Q068　如何查看OSSIM的GRUB程式版本？ 63 Q069　OSSIM系統中的IPMI服務有什麼作用？為什麼在虛擬機器啟動OSSIM時會遇到IPMI服務啟動失敗的問題？ 63 Q070　

如採用要混合式安裝方式來安裝OSSIM，在安裝介面中應選擇哪一項？ 64 Q071　如何進入OSSIM高級安裝模式？ 64 Q072　在虛擬機器下安裝OSSIM時無法找到磁片，應如何處理？ 65 Q073　在VMware虛擬機器環境中，如何為OSSIM安裝VMware Tools增強工具？ 65 Q074　初學者如何正確選擇虛擬機器版本？ 67 Q075　如何嗅探虛擬機器流量？ 68 Q076　在VMware ESXi虛擬機器環境中安裝OSSIM時應注意哪些內容？ 69 Q077　遺忘Web UI登錄密碼後如何將其恢復？ 70 Q078　如何在Hyper-V虛擬機器下安裝OSSIM？ 71 Q

079　在Hyper-V虛擬機器中如何嗅探網路流量？ 77 Q080　採用筆記型電腦安裝OSSIM時，如何防止其休眠？ 77 Q081　如何將負載分攤在多個感測器上？ 78 Q082　為什麼不建議通過USB設備安裝OSSIM系統？ 79 Q083　為什麼在安裝OSSIM 5的過程中不提示用戶分區？ 79 Q084　虛擬機器環境下常見的OSSIM安裝錯誤有哪些？ 80 第4章　OSSIM系統維護與管理 87 Q085　如何離線升級OSSIM？ 87 Q086　如何通過代理伺服器升級系統？ 87 Q087　OSSIM升級過程中出現的Ign、Hit、Get分別代表什麼含義？ 88 Q088　在OS

SIM中，update和upgrade參數有何區別？ 88 Q089　如何確保分散式OSSIM系統的安全？ 89 Q090　若在OSSIM伺服器上啟用SELinux服務，後果會如何？ 90 Q091　OSSIM儀錶盤典型視圖分為幾類，各有何特點？ 90 Q092　通過OSSIM 4.3能直接升級到OSSIM 5.4嗎？ 92 Q093　如何定制OSSIM系統的啟動畫面？ 92 Q094　OSSIM系統中的server.log日誌檔有什麼作用？如果此檔增漲到10GB以上，該如何處理？ 92 Q095　apt-get的常見用途有哪些？ 93 Q096　OSSIM中的IDM表示什麼含義？如何啟動ID

M服務？ 94 Q097　開源OSSIM系統所使用的檔案系統是什麼，有什麼局限性？ 94 Q098　當OSSIM的資料庫受損時，如何恢復OSSIM？ 95 Q099　為什麼在OSSIM 3.1系統上輸入ossim-update命令進行升級後OCS模組會消失？ 96 Q100　OSSIM消息中心為什麼總顯示互聯網連接中斷？ 97 Q101　OSSIM系統的套裝軟體中包含amd64字樣，這表示什麼含義？ 97 Q102　如何將Tickets加入知識庫？ 98 Q103　如何管理OSSIM系統服務？ 100 Q104　OSSIM系統當使用alienvault-update升級後.deb文件位於何處？

升級過程中報錯怎麼辦？ 101 Q105　如何校驗已安裝的Debian套裝軟體？ 101 Q106　OSSIM下有什麼好用的包管理器嗎？ 102 Q107　在OSSIM系統中如何分配tmpfs檔案系統的大小？ 103 Q108　OSSIM系統如何同步時間？ 103 Q109　如何通過刪除日誌的方式來釋放OSSIM平臺上的磁碟空間？ 103 Q110　如何檢測OSSIM系統整體的健康狀態？ 105 Q111　如何記錄Web UI中SQL查詢日誌資訊的情況？這些內容在何處？ 105 Q112　如何禁止系統向root使用者發送電子郵件？ 105 Q113　可使用什麼命令來查詢UUID號？ 106 Q

114　智慧移動終端如何訪問OSSIM？ 106 Q115　如何修改OSSIM登錄的超時時間？ 107 Q116　如何調整OSSIM系統管理員的密碼登錄策略？ 108 Q117　如何允許/禁止root通過SSH登錄OSSIM系統？ 108 Q118　如何安裝Gnome和Fvwm桌面環境？ 108 Q119　如何進入OSSIM系統的單使用者模式？ 108 Q120　忘記root密碼怎麼辦？ 110 Q121　在分散式OSSIM系統環境中如何啟動和關閉系統？ 111 Q122　如何設置郵件報警 112 Q123　如何校驗OSSIM中安裝的套裝軟體？ 113 Q124　在使用apt-get inst

all安裝軟體的過程中強行中斷安裝，結果下次再執行安裝腳本時報告資料庫錯誤，這該如何解決？ 113 Q125　使用apt-get install安裝程式時遇到了“Could not get lock/var/lib/dpkg/lock”提示，這是由於什麼原因造成的？ 114 Q126　OSSIM系統中/var/run/目錄下的pid檔有什麼作用？ 114 Q127　如何更改OSSIM預設的網路介面？ 115 Q128　在OSSIM系統中如何尋找和終止僵屍進程（zombie）？ 115 Q129　OSSIM在哪些地方會消耗大量記憶體？ 116 Q130　如何查看admin使用者活動的詳細資訊？

116 Q131　如何查看當前登錄到OSSIM系統中的使用者的Session ID？ 117 Q132　如何將本地光碟設置為軟體源？ 118 Q133　當使用crontab ?Ce編輯時，無法退出編輯環境，這如何處理？ 118 Q134　如何開啟OSSIM的Cron日誌？ 119 Q135　UUID在OSSIM系統中有什麼用途？ 119 Q136　OSSIM中如何安裝X-window環境 120 Q137　OSSIM如何防止關鍵進程停止？ 121 Q138　OSSIM會將資訊發送到外網嗎？ 121 Q139　OSSIM平臺如何修復包的依賴關係？ 123 Q140　異常關機會對OSSIM平臺產生

哪些影響？ 123 Q141　刪除OSSIM系統裡的檔時，磁碟空間不釋放應如何處理？ 124 Q142　如何手動修改伺服器IP地址？ 124 Q143　如何消除終端控制台上的登錄功能表？ 124 Q144　在低版本的OSSIM中，如何讓控制台支持高解析度？ 125 Q145　如何查看防火牆規則？ 125 Q146　如何解決時間不同步的問題？ 126 Q147　OSSIM在最後的安裝階段為什麼會停滯不前？ 126 Q148　如何配置OSSIM伺服器與感測器之間的VPN連接？ 127 Q149　如何重裝感測器？ 129 Q150　如何安裝並配置多個感測器？ 129 Q151　如何為OSSIM安裝W

ebmin管理工具？ 135 Q152　如何為OSSIM安裝phpMyAdmin工具？ 137 Q153　感測器中用於抓包的網卡需要分配IP嗎？ 139 Q154　如何將HTTP重定向為HTTPS訪問？ 139 Q155　在OSSIM的Web UI登錄介面中，在登錄驗證前用戶名和密碼是如何加密的？ 139 Q156　在OSSIM登錄介面中如何實現使用者Session登錄驗證的安全性？ 140 Q157　如何定制Apache 404頁面？ 140 Q158　OSSIM系統每次啟動時為什麼顯示“apache2 [warn] NameVirtualHost *:80 has noVirtualHos

ts”？ 140 Q159　Apache中出現“Could not reliably determine the server’s fully qualified domain name”提示時，應如何處理？ 141 Q160　遷移OSSIM系統時需要備份哪些資料？ 141 Q161　在OSSIM中，PCI DSS和ISO 27001代表什麼含義？ 142 Q162　如何輸出30天內的資產可用性報告？ 143 Q163　如何使用grep命令去掉設定檔的注釋行和空格行？ 143 Q164　如何生成一個指定大小的檔？ 144 Q165　如何在伺服器/感測器中發現隱藏的進程或埠？ 144 Q166　

如何解決因系統索引節點（inode）耗盡而引發的系統故障？ 145 Q167　OSSIM系統是如何實現高可用性的？ 147 Q168　OSSIM伺服器如何橫向擴展？ 151 第5章　OSSIM組成結構 157 Q169　OSSIM開源框架的分層處理架構是什麼？ 157 Q170　OSSIM系統框架中各模組的工作流程是怎樣的？ 158 Q171　OSSIM採用模組化架構的優勢是什麼？ 160 Q172　根據OSSIM部署圖來分析OSSIM多層體系結構是怎樣的？ 161 Q173　如果分散式OSSIM系統的感測器出現問題，會影響哪些模組的工作？ 162 Q174　OSSIM的工作流程包括哪些內容

？ 162 Q175　設定檔/etc/ossim/ossim_setup.conf中記錄了哪些內容？ 163 Q176　感測器上的採集外掛程式與監控外掛程式有什麼區別？ 163 Q177　OSSIM免費版和商業版有哪些主要區別？ 166 Q178　OSSIM中的SPADE有什麼作用？ 167 Q179　OSSIM代理的作用是什麼？ 168 Q180　代理與外掛程式有什麼區別？ 169 Q181　Framework有什麼作用，如何查看其工作狀態？ 169 Q182　修改OSSIM伺服器設定檔config.xml後如何重新開機引擎？ 170 Q183　Agent程式採集的日誌中的各個欄位表示什麼含

義？ 170 Q184　在混合式OSSIM伺服器模式與感測器安裝模式中，它們安裝的包有哪些區別？ 171 Q185　OSSIM伺服器和感測器的通訊連接埠有哪些，其作用是什麼？ 173 Q186　如何增刪系統的資料來源外掛程式？ 175 Q187　如何列出OSSIM分散式系統的活動代理資訊？ 175 Q188　如何將SIEM中顯示的攻擊日誌添加到資料來源組中？ 175 Q189　如何使用Tickets？ 176 Q190　Alarms與Tickets有什麼區別？ 177 Q191　在OSSIM報警中對網路攻擊模式如何分類？ 178 Q192　Ansible使用什麼協定通信？ 180 Q193　S

SH和Ansible服務在OSSIM中起到什麼作用？ 180 Q194　如何建立基於OpenSSL的安全認證中心？ 182 Q195　如何在OSSIM中設置VPN連接？ 183 Q196　OSSIM中定義的未授權行為包括哪些？ 185 第6章　感測器 187 Q197　OSSIM感測器的作用是什麼，如何查看感測器的狀態？ 187 Q198　當感測器發生故障時能否查詢感測器上載入外掛程式的狀態？ 187 Q199　感測器能以串聯方式部署在網路中嗎？ 189 Q200　如何通過感測器掃描資產？ 189 Q201　如何查看分散式系統的感測器狀態？ 189 Q202　如何讓Ansible獲取遠端主機

執行時間、線上使用者及平均負載資訊？ 191 Q203　如何通過Ansible將腳本分發到遠端主機並執行？ 192 Q204　為何會出現感測器刪除失敗的情況？ 193 Q205　OSSIM消息中心將資料來源分為幾類，它們的含義是什麼？ 193 第7章　外掛程式處理 198 Q206　OSSIM中的資料來源外掛程式如何將日誌轉換為安全事件，以實現統一存儲？ 198 Q207　OSSIM代理如何將採集的日誌發送到OSSIM伺服器？ 200 Q208　OSSIM採用什麼技術來解決網路設備的日誌格式不統一的問題？ 201 Q209　OSSIM中安全事件的標準格式是什麼？ 201 Q210　OSSIM

Agent的外掛程式採集日誌流程是什麼？ 203 Q211　在Apache外掛程式中如何定義Apache訪問日誌的規則運算式？如何通過腳本檢測外掛程式？ 206 Q212　經過OSSIM資料來源外掛程式歸一化之後的日誌存儲在什麼位置？ 206 Q213　編寫日誌外掛程式分幾個步驟？ 208 Q214　在OSSIM系統中如何導入檢測外掛程式？ 209 Q215　OSSIM採集外掛程式分為幾大類，它們通過什麼協定採集資料？ 209 Q216　外掛程式進程ossim-agent被手動停止後之後為何會自己重啟？ 211 Q217　在OSSIM感測器中能同時啟用Snort和Suricata外掛程式嗎？

211 Q218　如何導入自訂外掛程式？ 212 第8章　SIEM控制台操作 217 Q219　如何把SIEM控制台中發現的重要日誌加入到知識庫？ 217 Q220　如何為知識庫的條目新增附件？ 219 Q221　在SIEM控制台事件中查看視圖時有幾種觀察模式，它們有什麼區別？ 220 Q222　如何在SIEM警報中顯示電腦名？ 221 Q223　在SIEM控制台事件的表單中，N/A表示什麼意思？ 222 Q224　如何設定SIEM事件的保存期限？ 222 Q225　如何恢復SIEM事件資料庫？ 223 Q226　SIEM控制台上包含哪些重要元素？ 223 Q227　如何在SIEM事件控制

台中過濾事件？ 227 Q228　如何將高風險的事件進行快速分類？ 233 Q229　如何刪除與恢復安全事件？ 234 Q230　SIEM控制台中顯示的事件存儲在什麼地方？ 234 Q231　如何在Web頁面清理SIEM資料庫中的事件？ 235 Q232　為什麼不能跨VLAN顯示伺服器的FQDN名稱？ 236 Q233　SIEM日誌顯示中出現的0.0.0.0位址表示什麼含義？ 236 Q234　無法顯示SIEM安全事件時應如何處理？ 237 Q235　SIEM資料來源與外掛程式之間有何聯繫？ 237 Q236　什麼是AVAPI事件？如何過濾AVAPI事件？ 238 Q237　在OSSIM We

b UI中出現的EPS參數表示什麼含義？ 241 第9章　視覺化報警 243 Q238　如何產生報警事件？ 243 Q239　OSSIM中將報警事件分為幾類，分別表示什麼含義？ 244 Q240　如何通過Alarm快速識別網路攻擊？ 248 Q241　報警分組有什麼作用？ 251 Q242　如何通過X-Scan工具來觸發OSSIM報警？ 252 Q243　如何採用Armitage對目標主機進行滲透測試？ 253 Q244　如何通過Metasploit挖掘Windows XP的MS08-067漏洞？ 258 Q245　如何通過OSSIM實現SSH登錄失敗報警？ 262 Q246　如何區別IDS

的誤報與漏報？ 265 Q247　如何設置SSH登錄報警策略？ 266 Q248　OSSIM如何感知SSH暴力破解攻擊？ 268 第10章　OSSIM資料庫 273 Q249　OSSIM資料庫有哪幾種，各有什麼作用？ 273 Q250　採用SecureCRT訪問資料庫時出現亂碼，這是什麼原因引起的，如何 避免？ 275 Q251　MySQL資料庫許可權的存儲機制是什麼？ 276 Q252　如何讓OSSIM中的MySQL資料庫支援遠端存取？ 278 Q253　如何通過phpMyAdmin資料庫解決“Access denied for user 'root'@'localhost'（using

password:YES）”報錯問題？ 280 Q254　採用phpMyAdmin訪問資料庫時為什麼會出現亂碼？ 282 Q255　如何在OSSIM伺服器上訪問資料庫？常見的資料庫操作命令包含哪些？ 282 Q256　如何分屏顯示alienvault.alarm表中的內容？ 283 Q257　如何查看OSSIM資料庫的大小？ 283 Q258　OSSIM中的SQLite資料庫有什麼作用，它存儲在什麼位置？ 284 Q259　RRDTool與資料庫MySQL之間有什麼區別？ 284 Q260　如何將SQL檔插入到OSSIM資料庫中？ 284 Q261　如何把一個.sql.gz檔導入到資料庫中？

285 Q262　如何優化資料庫中的表？ 285 Q263　如何重置OSSIM資料庫？ 286 Q264　如何恢復OSSIM資料庫的出廠設置？ 287 Q265　影響OSSIM資料庫的性能因素有哪些？ 288 Q266　如何利用MySQLReport監控資料庫性能？ 288 Q267　如何設定OSSIM資料庫的自動備份時間？在什麼位置查看備份資料？ 289 Q268　/etc/ossim/server/config.xml設定檔記錄了哪些關鍵資訊？ 290 Q269　OSSIM系統中出現“MySQL:ERROR 1040:Too many connections”報錯提示時如何處理？ 291

Q270　如何用mytop監控MySQL資料庫？ 292 Q271　如何遠端匯出OSSIM資料庫的表結構？ 293 Q272　在使用ossim-db命令時出現“Access denied for user 'root'@'localhost'（using password:NO）”提示，該如何解決？ 293 Q273　如何類比負載？ 294 Q274　當MySQL進程的CPU使用率過高時，如何優化？ 294 Q275　如何啟動OSSIM資料庫的慢查詢日誌？ 295 Q276　如何使用mysqldump完整備份OSSIM資料庫？ 296 Q277　如何用XtraBackup備份OSSIM資料庫？

296 Q278　如何用mysqlslap測試OSSIM資料庫？ 297 Q279　當OSSIM系統資料庫發生損壞時，如何重建資料庫？ 299 Q280　如何查看OSSIM系統的SIEM資料庫備份策略？ 299 Q281　OSSIM系統出現acid表錯誤時如何處理？ 299 Q282　升級過程中資料庫表意外損壞，該如何修復？ 300 Q283　如何清理OSSIM資料庫？ 301 Q284　存儲在資料庫中的資產IP位址被加密了嗎，如何查看該IP地址呢？ 302 Q285　OSSIM系統中的Active Event Window（days）表示什麼含義，該值設定為多大比較合適？ 302 Q286

　如何顯示acid_event表中的前5條記錄？ 303 Q287　為OSSIM添加擴展資料庫時出現連接資料庫錯誤，該如何處理？ 303 Q288　如何通過MONyog工具監控MySQL伺服器？ 304 Q289　日誌中的IP位址在資料庫中採用何種形式存儲？ 306 Q290　如何通過MySQL Workbench連接OSSIM資料庫？ 307 附錄1　主要設定檔注釋 315 附錄2　OSSIM 5 Web介面功能表功能注釋 316 附錄3　終端控制台程式注釋 319 附錄4　關鍵字匯英漢對照 321

數位監控系統之視訊多媒體資料庫實作與研究

為了解決工作管理員cpu顯示錯誤的問題，作者蕭志豪 這樣論述：

數位監控與多媒體資料庫越來越密不可分，因為監控系統數位化後，為提高安全品質，在監控錄影檔案的應用層面已有許多研究顯示，找尋媒體檔案中的有效資訊與如何詮釋資訊已蔚為主流的課題。本研究以MySQL資料庫為研究基礎，將多媒體錄影資料以LongBLOB型式存入資料庫中，透過MFC專案做視窗軟體開發，經由MyODBC的連線對資料庫做媒體檔案的存取控制，並使用Open CV 函式庫產生媒體檔案中的詮釋資料，這其中包含移動偵測、人臉偵測，並將檔案物件與詮釋資料一同寫入MySQL資料庫之中，這在日後查詢龐大數量的檔案上可有效率的節省時間，也提高資料的可信度。本研究的多媒體資料庫也進行系統效能測試，實驗中進行

了大批的檔案寫入資料庫的測試，平均可達每秒12.2MB的速度，同時也記載了CPU的使用率，這個實驗結果可做為DVR伺服器在管理監控系統的硬體考量依據，也是數位監控在媒體檔案管理上新的契機。