A propos des délais de démarrage des processus

quand je ne voyage pas, mais je m’en sers parfois pour lire le courriel dans mon salon. Comme la plupart des utilisateurs Windows, je suis agacé par certains délais inexpliqués quand j’effectue des tâches aussi banales que démarrer un programme ou ouvrir une page Web. Depuis que j’ai joint mon portable à un domaine Microsoft interne, j’ai commencé à constater des délais réguliers quand je démarre des processus.

Muni de mon arsenal Sysinternals, j’ai décidé d’enquêter sur la cause initiale, en soupçonnant que le fait de joindre le portable au domaine Microsoft y était pour quelque chose. J’ai commencé par observer que, après un délai de quelques secondes lors du démarrage d’un nouveau processus, les processus que je démarrais dans les 30 secondes suivantes se lançaient instantanément. J’ai donc démarré Ssysinternals Process Explorer, attendu 30 secondes, puis démarré Notepad à l’aide de la commande Run de Windows Explorer.

Notepad n’est pas apparu dans l’arborescence des processus de Process Explorer pendant le délai prévu. Cela impliquait que la pause n’était pas due au démarrage de Notepad, mais au thread Explorer démarrant Notepad. Vous pouvez suivre toutes les étapes qui m’ont permis de diagnostiquer les délais de processus, en visitant mon blog à https://blogs.technet.com/markrussinovitch/archive/2006/08/31/453100.aspx , mais les résultats de mon enquête ont démasqué le coupable : Windows Defender.

En rassemblant le tout, voici ce que j’ai trouvé pour expliquer la cause des délais de processus : quand un programme se lance, le shell appelle le hook de protection en temps réel de Windows Defender, MpShHook.Dll. Le hook communique avec le service Windows Defender via des RPC (remote procedure calls) et dans le cadre du protocole, RPC tente de déterminer le SID du compte ordinateur.

Cela conduit RPC à rechercher un DC (domain controller), en vain. Il en résulte un délai de démarrage du processus, qui est en fait un timeout du réseau. Après un peu de recherche complémentaire, je suis parvenu à la conclusion que le délai ne se manifeste que dans les circonstances suivantes :

• Le système exécute Windows XP 64-bit Edition ou Windows Server 2003 Service Pack 1 (SP1).
• Windows Defender Beta 2 est actif.
• Le système est joint à un domaine mais ne s’est pas connecté à celui-ci dans la session d’initialisation courante.

L’équipe Windows Defender s’emploie à trouver des contournements pour la prochaine release, mais maintenant que je comprends le mécanisme du délai, je peux le contourner.

Mark Russinovich