使用进程监视器解决启动缓慢的问题

为了诊断Windows启动缓慢的原因，有许多非常强大的日志分析工具和技术，可以对系统启动和服务启动的所有步骤进行详细的调试（来自Windows性能工具包/分析器的xperf/xbootmgr）。但它们的使用可能会带来一些麻烦，特别是对于刚入门的系统管理员来说。在本文中，我们将展示如何轻松快速地检测哪些应用程序、服务和驱动程序在系统启动过程中运行缓慢，从而增加了总启动时间。

当然，所有 Windows 系统管理员都应该熟悉 Sysinternals 系统实用工具包中的进程监视器。进程监视器允许实时监视正在运行的进程的活动、对文件系统和注册表的访问。鲜为人知的进程监视器功能之一是能够监视 Windows 启动期间启动的进程。

为了诊断启动阶段，Process Monitor 在注册表的 HKLM\SYSTEM\CurrentControlSet\Services 部分创建一个单独的服务。此服务加载启动模式驱动程序 procmon23.sys ，该驱动程序在 Winload.exe 启动后启动，并记录系统启动和用户登录期间运行的所有进程的活动。

1. 下载并解压包含进程监视器的存档 (http://download.sysinternals.com/files/ProcessMonitor.zip)

2. 使用管理员权限运行 procmon.exe

3. 在选项菜单中选择启用启动日志记录

   

4. 在下一个窗口中，选择生成线程分析事件 -> 每秒。在这种模式下，procmon驱动程序将每秒捕获所有进程的状态

   

5. 重新启动计算机并等待桌面出现

6. procmon23.sys 将记录所有事件，直到用户启动进程监视器。之后启动日志记录模式被禁用

7. 在“进程监视器”窗口中，接受将收集的数据保存到文件的提议。

   

注意。如果不停止进程监视器，临时日志文件 %windir%\procmon.pmb 最终将占用系统驱动器上的所有可用空间。

1. 选择要保存文件的目录并等待保存。就我而言，目标目录中出现了三个文件：Bootlog .pml、Bootlog-1.pml 和 Bootlog-2.pml，总大小为 700 MB。

2. 在 ProcMon 窗口中，单击表格标题，然后单击选择列并启用持续时间列的显示

   

3. 在过滤器菜单中创建一个新过滤器。

   

4. 选择持续时间作为过滤器的参数，超过作为过滤条件，并指定值10。

   

5. 因此，在进程列表中，您将只看到花费超过 10 秒来执行某些操作的进程。 （我选择了 10 秒以使示例更具说明性）。

   

6. 要分析启动过程，您还可以使用工具->进程树功能，将所有进程显示为图形树，其中包含有关每个进程的开始、持续时间和完成的信息。

   

您只需分析您获得的进程列表（如有必要，您可以通过启用可执行文件名称过滤器对问题进程进行进一步分析），匹配进程和服务、应用程序或驱动程序，并优化您的系统。

通常，这种类型的分析有助于检测缓慢的进程、受感染的程序（首先，您应该分析 Winlogon.exe 的子进程）、决定卸载/更新有问题的软件或驱动程序、禁用某些服务或更改其启动类型（延迟或手动启动）、从自动启动中删除某些应用程序。通常，防病毒软件和其他消耗资源的软件都会进入此列表。