Portmon für Windows 3.03

Von Mark Russinovich

Veröffentlicht: 12. Jan 2012

Einführung

Portmon ist ein Dienstprogramm, mit dem die Aktivitäten an allen seriellen und parallelen Anschlüssen eines Systems überwacht werden. Dank der erweiterten Filter- und Suchfunktionen ist dieses leistungsfähige Tool in der Lage, die Arbeitsweise von Windows zu untersuchen, die Nutzung von Ports durch Anwendungen zu ermitteln und auch Probleme in System- oder Anwendungsdateikonfigurationen aufzuspüren.

Portmon ist unter Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 sowie unter Windows 95 und Windows 98 funktionsfähig.

Portmon 3.x

Mit der Version 3.x von Portmon wurden eine Reihe hochleistungsfähiger Features eingeführt.

Remoteüberwachung: Erfassung der Kernelmodus- und/oder Win32-Debug-Ausgabe über einen beliebigen Computer, der über TCP/IP erreichbar ist, sogar über das Internet. Sie können mehrere Remotecomputer gleichzeitig überwachen. Wenn Sie Portmon auf einem Windows-System ausführen und die Erfassung von einem anderen System mit Windows NT oder Windows 2000 in derselben Netzwerkumgebung vornehmen, wird die Clientsoftware von Portmon sogar automatisch installiert.
Liste der zuletzt verwendeten Filter:Portmon wurde mit leistungsfähigen Filterungsfunktionen ergänzt, sodass nun auch die zuletzt ausgewählten Filter gespeichert werden und leicht wieder abrufbar sind.
Kopieren in Zwischenablage: Wählen Sie mehrere Zeilen im Ausgabefenster aus, und kopieren Sie ihren Inhalt in die Zwischenablage.
Hervorheben: Lassen Sie die Debugausgabe hervorheben, die mit dem Hervorhebungsfilter übereinstimmt, und passen Sie dabei nach Wunsch auch die Hervorhebungsfarben an.
Protokollieren in Datei: Lassen Sie die Debugausgabe direkt beim Erfassen in eine Datei schreiben.
Drucken: Drucken Sie die Debugausgabe vollständig oder teilweise auf einem Drucker aus.
Nur eine Datei:Portmon ist mittlerweile als eine einzige Datei implementiert.

In der Onlinehilfedatei werden diese Features und vieles mehr ausführlich erläutert.

Screenshot von PortMon

Installation und Verwendung

Führen Sie einfach die Portmon-Programmdatei (portmon.exe) aus. Portmon beginnt sofort mit der Erfassung der Debugausgabe. Um Portmon unter Windows 95 ausführen zu können, benötigen Sie das WinSock2-Update von Microsoft. Falls Sie Portmon unter Windows NT/Windows 2000 ausführen, darf sich die Datei „portmon.exe“ nicht auf einem Netzlaufwerk befinden, und Sie müssen über Administratorrechte verfügen. Mit den Menüs, den Tastenkombinationen und den Schaltflächen in der Symbolleiste können Sie das Fenster leeren, die überwachten Daten in eine Datei speichern, die Ausgabe durchsuchen, die Schriftart im Fenster ändern und vieles mehr. In der Onlinehilfe werden alle Features von Portmon beschrieben.

Mit Portmon werden alle E/A-Steuerbefehle für serielle und parallele Anschlüsse (IOCTL-Befehle) erkannt und gemeinsam mit wichtigen Informationen zu den zugehörigen Parametern angezeigt. Bei Lese- und Schreibzugriffsanforderungen zeigt Portmon mehrere Dutzend der ersten Bytes im Puffer an, wobei nichtdruckbare Zeichen durch einen Punkt (.) ersetzt werden. Mit der Menüoption „Show Hex“ wechseln Sie zwischen der ASCII-Ausgabe und der Hex-Rohausgabe der Pufferdaten.

Funktionsweise: Windows NT

In der grafischen Benutzeroberfläche von Portmon werden die seriellen und parallelen Anschlüsse aufgeführt. Hierzu werden die unter „HKEY_LOCAL_MACHINE\Hardware\DeviceMap\SerialComm“ konfigurierten seriellen Anschlüsse sowie die unter „HKEY_LOCAL_MACHINE\Hardware\DeviceMap\Parallel Ports“ definierten parallelen Anschlüsse aufgezählt. Diese Schlüssel enthalten die Zuordnungen zwischen den Namen der Geräte an seriellen und parallelen Anschlüssen und die Namen für den Win32-Zugriff.

Wenn Sie einen Port für die Überwachung auswählen, sendet Portmon eine Anforderung mit dem gewünschten NT-Namen (z. B. „device\serial0“) an den Gerätetreiber. Mithilfe von Standardfilter-APIs hängt der Treiber sein eigenes Filtergeräteobjekt an das Zielgeräteobjekt an. Als Erstes wird das Zielgerät mit ZwCreateFile geöffnet. Anschließend wird das Handle, das von ZwCreateFile zurückgegeben wird, in einen Geräteobjektzeiger übersetzt. Der Treiber erstellt ein eigenes Filtergeräteobjekt, das auf die Eigenschaften des Ziels abgestimmt ist, und ruft dann IoAttachDeviceByPointer auf, um so den Filter einzurichten. Von diesem Zeitpunkt an „sieht“ der Portmon-Treiber alle Anforderungen, die an das Zielgerät gerichtet sind.

In Portmon sind Informationen zu allen Standard-IOCTLs für serielle und parallele Anschlüsse integriert, über die die Anwendungen und Treiber hauptsächlich die Anschlüsse konfigurieren und die Statusinformationen von diesen Anschlüssen lesen. Die IOCTLs sind in den DDK-Dateien „ddk\src\comm\inc\ntddser.h“ und „ddk\src\comm\inc\ntddpar.h“ definiert, wobei ein Teil dieser IOCTLs im DDK dokumentiert ist.

Funktionsweise: Windows 9x

Unter Windows 95 und Windows 98 erfasst die grafische Benutzeroberfläche von Portmon die Aktivitäten an den seriellen und parallelen Anschlüssen über einen dynamisch geladenen VxD. Der Windows-VCOMM-Treiber (Virtual Communications) fungiert als Bindeglied zwischen parallelen und seriellen Geräten. Alle Anwendungen, die auf Anschlüsse zugreifen, nutzen somit indirekt diesen Treiber. Der Portmon-VxD fängt alle Zugriffe auf die Funktionen von VCOMM mithilfe der standardmäßigen VxD-Diensteinbindung ab. Wie der Windows NT-Gerätetreiber wandelt der Portmon-VxD die Anforderungen für die Anzeige in ein benutzerfreundliches Format um. Unter Windows 9x überwacht Portmon alle Ports. Eine Auswahl der Ports wie bei Windows NT ist daher nicht möglich.