none
system进程大量的i/o读取字节 RRS feed

  • 问题

  • XP SP3中文系统, 安装杀软SEP(symantec endpoint protection)12.1受管客户端,在杀软控制台设置了只有每星期五中午12点全盘扫描,而开机扫描和新病毒定义到达后扫描都取消。

    也就是说,在不是周五12点的其他时间,SEP不会没事就扫描我的硬盘,在SEP12对于自动防护的解释,仅当文件有读取,复制,保存,移动,打开或关闭时触发自动防护。

    那么,平时,存放在我非系统分区的文件,我并没有进行任何的人为访问,可是每天总有那么十分忙碌的时候(此时我PC也只开了OUTLOOK,远程桌面和一两个网页),然后在这个时候查看任务管理器,发现system这个进程有大量的i/o读取字节增加。同时,用process monitor查看system的线程,选择cpu占用最高的线程查看其模块,发现是C:\WINDOWS\system32\drivers\SEP\0C01029F\136B.105\x86查看SEP客户端的自动防护信息,发现时SEP在扫描我非系统分区的文件造成的大量I/O读取字节增长。

    可问题是,SEP的自动防护仅当文件有读取,复制,保存,移动,打开或关闭时触发,我可以确认的是我打开的程序并没有对这些文件进行访问,而且也没有任何我安装的软件在后台运行触发相应的访问,那么我想应该SYSTEM在做什么操作,导致触发了杀软的自动防护,那么是什么操作呢?

    各位牛人能解释下么?是XP的问题,还是杀软SEP的问题?

    2012年7月18日 3:49

答案

  • 刚查看了下网络连接协议中没有特定的协议。

    在设备管理器查看中显示非即插即用设备,可以看到非即插即用驱动里有个symantec real time storage protection (pel),这个就是system有大量I/O读取字节时,CPU占用率最高的线程的模块SRTSP,从名称上可以看出是实时存储保护,就不知道这个为什么没事就扫描我硬盘里几乎没人为去访问过的文件。

    我是倾向于SEP在底层驱动有做什么特别的行为,导致引发大量I/O读取字节。

    目前也就只能继续再跟SYMANTEC联系看CASE的进展如何。

    有新消息我会在这里继续跟进。

    谢谢斑竹回复。

    2012年7月25日 1:55
  • 现在已经基本确认是SYMANTEC的自动防护里的SRTSP,也就是上面说的symantec real time storage protection在起作用,在SEP控制台里有个关于文件高速缓存的设置,当新病毒定义到达时重新扫描高速缓存,默认是启用的。而在SYMANTEC给出的解释是,每个分区都会默认有1W个文件信息被缓存,所以每当新病毒定义到达,这每个分区的1W个文件缓存都会被重新扫描以确认是否感染病毒,真是个鸡肋的功能,我已经禁用了。

    多谢版主之前的热心答复。

    • 已标记为答案 leo_young 2012年8月7日 1:57
    • 已编辑 leo_young 2012年8月7日 1:57
    2012年8月7日 1:56

全部回复

  • 如果是读取虚拟内存页面文件,应该是针对系统正在运行的程序,所以我觉得不像是虚拟内存导致的,而且我内存有2G,平时也不怎么跑大的应用,大概有1G的内存空间是可用状态,虚拟内存应该不会导致硬盘长时间的忙碌状态。还有我那放在非系统分区的文件,我不去读取,系统没事会去读取它们吗?

    系统还原,还有XP所谓的某个功能,在空闲时会自动对常用的文件进行整理,挪到硬盘外道的功能,我再注册表里也禁用了。

    而杀毒软件除了星期五的定时扫描,其他任何类型扫描都禁止了。理论上杀毒软件也不会没事扫描硬盘。

    所以我现在十分疑惑,到底是杀软问题,还是系统问题导致不停扫描硬盘。

    2012年7月19日 2:58
  • 可能与 Windows 读写虚拟内存页面文件的操作有关。请在观察到 SYSTEM 大量 I/O 读写操作的时候注意一下页面文件的占用率。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    XP SP3中文系统, 安装杀软SEP(symantec endpoint protection)12.1受管客户端,在杀软控制台设置了只有每星期五中午12点全盘扫描,而开机扫描和新病毒定义到达后扫描都取消。
     
    2012年7月19日 3:47
    版主
  • 确实不一定是虚拟内存引起,所以需要观察一下出现问题时的页面文件占用率。虽然不推荐,但你可以暂时将虚拟内存页面文件全部禁止,重新启动后观察是否会有同样现象。
     
    再有就是 Windows 的预读取功能,还有 Windows Search 建立搜索索引(如果有安装的话),可能会随时访问并读写任意数据。请检查是否有这些组件在运行。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最?延没逖椤?
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    如果是读取虚拟内存页面文件,应该是针对系统正在运行的程序,所以我觉得不像是虚拟内存导致的,而且我内存有2G,平时也不怎么跑大的应用,大概有1G的内存空间是可用状态,虚拟内存应该不会导致硬盘长时间的忙碌状态。
     
     
    2012年7月19日 3:52
    版主
  • 虚拟内存我会先禁用试看看,但还是感觉问题不是在虚拟内存上。

    预读功能我看了下PREFETCH目录,没有看到相应的那些非系统分区被扫描过的目录被预读取的情况。

    windows search没有安装,所以应该也不是索引问题。

    2012年7月19日 5:52
  • 由 Windows 本身功能引起的 I/O 读写基本就是这些了,还有就是媒体库的更新或者任何自动备份工具、自动优化工具在后台的整理,不过应该不会很明显。
     
    如果可以排除 Windows 本身的因素,那就还是杀毒软件。可以试试暂时关闭杀毒软件的全部进程。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    虚拟内存?一嵯冉檬钥纯矗故歉芯跷侍獠皇窃谛槟饽诖嫔稀?
    预读功能我看了下PREFETCH目录,没有看到相应的那些非系统分区被扫描过的目录被预读取的情况。
     
     
    2012年7月20日 3:15
    版主
  • 请问这个问题有何进展吗?如果彻底关闭杀毒软件的全部进程,是否还有 I/O 大量读写的现象?
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "Alexis Zhang"
     
    由 Windows 本身功能引起的 I/O 读写基本就是这些了,还有就是媒体库的更新或者任何自动备份工具、自动优化工具在后台的整理,不过应该不会很明显。
     
    2012年7月23日 2:55
    版主
  • 谢谢斑竹的跟踪。

    虚拟内存关闭后,仍然在某个时间会有I/O大量读取(写入并没有什么)现象。

    我也一直怀疑是杀软SEP的问题,因为当I/O大量读取的时候,的确SEP在扫描。但除了每周五中午的定时扫描我可以确定都取消了。

    我也同时给SYMANTEC公司开了个CASE,把我的问题的截屏,还有系统启动进程加载项什么的用软件做了日志导出,发给了他们,可是至今也没得到满意答复。

    卸载或禁用SEP实为下策,公司网络病毒防护我在负责,万一自己的电脑中了未知病毒导致真个公司出状况,那我就难辞其咎了。

    但我可以确定,卸载或禁用了肯定没这个事,因为SEP不工作了。

    但究竟是XP系统在后台先对这些文件进行访问触发了SEP的扫描,还是SEP自动防护的工作机制有没完全公开的细节?

    2012年7月23日 8:26
  • 如果是我自己手动运行的自动扫描,那么相应的是ccSvcHst.exe(SEP的进程)有着大量的I/O读取字节,而同时system进程几乎就没任何动静。

    可当我上面描绘的情形出现时,system进程却有大量的I/O读取字节,而ccSvcHst.exe却没有那么明显的I/O读取字节。谈不上同步增长。

    2012年7月23日 8:51
  • 我倾向于是 SEP 自身的保护机制引发的问题,可能有些隐藏的设置没有在其自带的选项中体现出来。
     
    建议再检查一下 SEP 有没有在网络连接的协议中添加什么自己的过滤器或特定协议,这样当网络连接繁忙的时候可能会激活相应组件对磁盘的读写。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    但我可以确定,卸载或禁用了肯定没这个事,因为SEP不工作了。
    但究竟是XP系统在后台先对这些文件进行访问触发了SEP的扫描,还是SEP自动防护的工作机制有没完全公开的细节?
     
     
    2012年7月24日 1:41
    版主
  • SEP 引发的 system 的大量 I/O 读取应该是与常规设置的 SEP 后台扫描方式是有区别的,两种情况下进程的不同表现可以说明这一点。
     
    猜测可能是 SEP 除了常规的后台进程监控外,还有额外的底层驱动级监控或网络协议级的监控,引起了 system 的 I/O 读取。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    如果是我自己手动运行的自动扫描,那么相应的是ccSvcHst.exe(SEP的进程)有着大量的I/O读取字节,而同时system进程几乎就没任何动静。
     
     
    2012年7月24日 1:43
    版主
  • 刚查看了下网络连接协议中没有特定的协议。

    在设备管理器查看中显示非即插即用设备,可以看到非即插即用驱动里有个symantec real time storage protection (pel),这个就是system有大量I/O读取字节时,CPU占用率最高的线程的模块SRTSP,从名称上可以看出是实时存储保护,就不知道这个为什么没事就扫描我硬盘里几乎没人为去访问过的文件。

    我是倾向于SEP在底层驱动有做什么特别的行为,导致引发大量I/O读取字节。

    目前也就只能继续再跟SYMANTEC联系看CASE的进展如何。

    有新消息我会在这里继续跟进。

    谢谢斑竹回复。

    2012年7月25日 1:55
  • 我同意你的意见,从名称看它应该是罪魁祸首。可以尝试在设备管理器中禁用这个隐藏设备观察一阵。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    刚查看了下网络连接协议中没有特定的协议。
    在设备管理器查看中显示非即插即用设备,可以看到非即插即用驱动里有个symantec real time storage protection
     
     
    2012年7月25日 2:40
    版主
  • 现在已经基本确认是SYMANTEC的自动防护里的SRTSP,也就是上面说的symantec real time storage protection在起作用,在SEP控制台里有个关于文件高速缓存的设置,当新病毒定义到达时重新扫描高速缓存,默认是启用的。而在SYMANTEC给出的解释是,每个分区都会默认有1W个文件信息被缓存,所以每当新病毒定义到达,这每个分区的1W个文件缓存都会被重新扫描以确认是否感染病毒,真是个鸡肋的功能,我已经禁用了。

    多谢版主之前的热心答复。

    • 已标记为答案 leo_young 2012年8月7日 1:57
    • 已编辑 leo_young 2012年8月7日 1:57
    2012年8月7日 1:56
  • 头一次听说分区默认有一万个文件缓存的说法,这缓存能起到什么作用呢?
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    现在已经基本确认是SYMANTEC的自动防护里的SRTSP,也就是上面说的symantec real time storage protection在起作用,在SEP控制台里有个关于文件高速缓存的设置,当新病毒定义到达时重新扫描高速缓存,默认是启用的。
     
    2012年8月7日 23:28
    版主
  • 或许我表述不是很清楚,这1W个文件缓存是缓存被扫描过文件的信息(估计类似于指纹一样的信息),如果这些文件没有被更改,那么SEP就直接跳过对它们的扫描。可以加速扫描,减少扫描耗费时间。

    2012年8月10日 0:43
  • 比对一万个缓存是否有更改,与重新扫描一万个缓存,我看这两者的繁琐程度也差不多了,呵呵。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "leo_young"
     
    或许我表述不是很清楚,这1W个文件缓存是缓存被扫描过文件的信息(估计类似于指纹一样的信息),如果这些文件没有被更改,那么SEP就直接跳过对它们的扫描。可以加?偕瑁跎偕韬姆咽奔洹?
     
     
    2012年8月11日 2:25
    版主