Vmmem процесс что это как выключить
Процесс Vmmem — что это?
Приветствую друзья! 
Сегодня мы поговорим про один процесс, который вы можете заметить в диспетчере задач… название его — Vmmem. Постараемся выяснить — зачем он нужен? Это может быть процесс вполне легальной программы, но это может быть и вирус.. поэтому давайте разбираться))
Описание
Процесс Vmmem — это оперативная память, которая выделена для использования виртуальной машиной (Hyper-V).
Простыми словами — виртуальная машина, это в некотором смысле виртуальный компьютер, который имеет свой процессор, свою оперативку. Сколько виртуальная машина (или несколько) потребляет памяти — столько примерно и будет кушать оперативы процесс Vmmem.
Разбираемся
Чтобы отключить процесс Vmmem, попробуйте следующее:
Можно также ограничить ресурсы Vmmem путем создания файла %UserProfile%\.wslconfig, внутри которого прописать:
[wsl2]
memory=6GB # Ограничиваем память для WSL2 VM.
processors=5 # Ограничиваем количество процессов для WSL2 VM.
Вот пример сколько процесс может потреблять оперативки (это еще далеко немного):
Картина может быть и такой, здесь уже намного больше используется:
Заключение
Удачи и добра, до новых встреч друзья! 
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Процесс «Система и сжатая память» в Windows 10
Функция сжатия оперативной памяти в Windows 10 предназначена для ускорения работы (отзывчивости) системы за счет хранения части страниц в оперативной памяти в сжатом виде. Тем самым достигается уменьшение количества обращений на чтение и запись страниц памяти из медленного (по сравнению с RAM) файла подкачки на жестком диске. Нужные данные извлекаются из более быстрой оперативной памяти быстрее, даже с учетом того, что на их сжатие/декомпрессию тратятся дополнительные ресурсы процессора.
Особенности технологии «Сжатой памяти» в Windows 10
Изначально поток, отвечающий за работу подсистемы сжатой памяти, находилась внутри процесса System, что не очень удобно с точки зрения диагностики. В Windows 10 1511 этот функционал был выделен в отдельный процесс — Система и сжатая память (System and compressed memory).
В Windows 10 Anniversary edition (1607) появился отдельный процесс Сжатая память (Memory Compression), скрытый от диспетчера задач. Получить информацию об этом процессе можно с помощью PowerShell командлета Get-Process:
Также информацию об использовании сжатой памяти системой можно получить с помощью диспетчера задач. Перейдите на вкладку Производительность (Performance), выберите раздел Память (Memory). Текущее значение использования сжатой памяти отображается в значении параметра Использование (сжатая). В моем примере используется 3 Гб памяти, из которой в сжатом виде хранится 230 Мб. Чтобы понять, какой объем данных получилось упаковать в сжатый блок, нужно навести мышкой на график Структура памяти:
Используется сжатой памяти (230 Мб). В сжатой памяти хранится примерно 1012 Мб данных, освобождая для системы 782 Мб памяти.
Как вы видите, уровень компрессии достигает почти 400%, так что экономия довольно большая.
В большинстве случаев, если компьютер работает нормально и на нем установлен достаточный объём оперативной памяти, процесс «Сжатой памяти» работает отлично и не требует никакого вмешательства.
Процесс «Система и сжатая память» сильно грузит компьютер
Но иногда случается, когда процесс «Система и сжатая память» начинает довольно сильно грузить процессор или жесткий диск компьютера (вплоть до 100%, это видно в диспетчере задач), или же занимаеть в памяти слишком много места. Компьютер, при этом, естественно, начинает сильно тормозить и подвисать.
Что делать в этом случае?
Я приведу 2 совета, которые должны помочь исправить проблему с высокой загрузкой системы процессом «Сжатая память».
Если указанные манипуляции не помогли, можно попробовать отключить сжатую память.
Как отключить сжатую память в Windows 10
Если вы хотите проверить стабильность работы Windows 10 без использования функции «сжатой памяти», можно временно отключать эту функцию. Для этого, откройте консоль PowerShell с правами администратора. Проверим, включена ли сейчас опция «Сжатой памяти»:
Строка MemoryCompression : True указывает на то, что сжатая память включена.
Отключим сжатую память:
И перезагрузим компьютер
После загрузки проверьте, как ведет себя система. Если производительность улучшилась, можно оставить ОС в режиме с отключенным режимом сжатой памяти.
Чтобы включить MemoryCompression, выполните команду:
Заключение
Технология «Сжатой памяти» в Windows 10, как правило работает довольно эффективно и не требует никаких вмешательств. В том случае, если она вызывает проблемы на вашем компьютере, скорее всего у вас имеются некоторые проблемы с настройками системы, оборудованием или драйверами. В случае необходимости, функцию сжатия памяти можно совсем отключить.
В некоторых случаях пользователям для исправления проблемы со сжатой памятью рекомендуют:
В некоторых случаях эти советы помогают избавится от чрезмерной нагрузки на компьютер со стороны процесса «Сжатая память», но при этом отключаются базовые подсистемы оптимизации производительности Windows, что может негативно сказаться на других аспектах производительности системы.
Внутреннее устройство памяти Microsoft Hyper-V
В статье были описаны методы доступа к памяти гостевых разделов Hyper-V, создаваемых в самых разных случаях
Память гостевых ОС.
Программное обеспечение, используемое в статье (операционные системы с патчами от августа 2019):
Windows 10, build 1903 x64
Windows Server 2019
Windows Server 2016
Visual Studio 2019
PyKd плагин для WinDBG
Термины и определения:
— WDAG – Windows Defender Application Guard.
— Full VM (виртуальная машина) – обычная полноценная виртуальная машина, созданная в Hyper-V manager. В отличие от контейнеров WDAG, Windows Sandbox, docker в режиме изоляции Hyper-V.
— Root ОС – операционная система, в которой установлена серверная часть Hyper-V.
— Гостевая ОС – операционная система, которая работает в контексте эмуляции Hyper-V, в т.ч. используя виртуальные устройства, предоставляемые гипервизором. В контексте статьи, это могут быть как Full VM, так и контейнеры.
— TLFS – документ Hypervisor Top-Level Functional Specification 5.0.
— GPA (guest physical address) – физический адрес памяти гостевой операционной системы.
— SPA (system physical address) – физический адрес памяти root ОС.
— Гипервызов (hypercall) – сервис гипервизора, вызываемый посредством выполнения команды vmcall с указанием номера гипервызова.
Исходники драйвера доступны на github.com:
Python-скрипт для вывода информации о GPAR и MBlock-объектах
Технологии виртуализации компании Microsoft давно и прочно вошли в нашу жизнь как в серверном сегменте, так и в клиентских ОС. Они используются не только для запуска гостевых ОС, но и для работы защитных механизмов, таких как Virtualization Based Security (VBS), Credential Guard, Device Guard, Hypervisor Code integrity (HVCI).
Компонент Hyper-V впервые появился в Windows Server 2008 и предоставлял достаточно простые на тот момент возможности по созданию гостевых операционных систем. Но Microsoft активно развивает эту технологию, и в настоящее время она глубоко интегрирована в ядро операционной системы Windows. Корневым компонентом является модуль hvix64.exe для процессоров Intel, hvax64.exe для процессоров Amd и hvaa64.exe для ARM.
Также описание архитектуры памяти Hyper-V (помимо TLFS) было сделано Andrea Allievi (www.andrea-allievi.com/files/Recon_2017_Montreal_HyperV_public.pptx) на конференции Recon 2017. Но слайды довольно абстрактно описывают модель реализации, и сопоставить эту информацию с реальным кодом, понять, что и как работает, очень сложно. Презентация была сделана до того, как Microsoft опубликовала символьную информацию компонентов виртуализации, так что, возможно, причина в этом.
В 2018 году Microsoft выпустила WDAG, которые представляет из себя надстройку к браузеру, запускающую браузер Microsoft Edge в контейнере Hyper-V со slim RDP-фронтендом, что создаёт ощущение, как будто вы работаете непосредственно в браузере. Подобные технологии очень давно использовала компания Citrix в своих терминальных решениях. У меня появилось желание понять, как же работает WDAG.
Доработка этой утилиты помогла лучше понять, каким образом работают виртуальные машины и контейнеры Hyper-V, а также каким образом получить доступ к памяти гостевых ОС различными способами.
Сперва я планировал написать отдельную статью про контейнеры Hyper-V, но учитывая количество компонентов (см. скриншот), провести полное исследование слишком трудоёмко.
Сам гипервизор находится в изолированной области памяти, память root-ОС отображается 1 в 1, возможность чтения памяти средствами гипервизора с помощью гипервызова HvReadGpa отсутствует (отдельная блокировка в коде для раздела с идентификатором, равным 0, т.е. для root-ОС). Основные моменты работы подсистемы памяти описаны в TLFS.
Так что основной упор будет сделан на методы доступа к памяти гостевых ОС. Будут описаны механизмы работы памяти для обычных виртуальных машин Microsoft и контейнеров WDAG и Windows Sandbox. Docker будет упомянут кратко и только в контексте Hyper-V, т.к. это отдельная экосистема, которой и так посвящено огромное количество ресурсов.
В ходе исследования был создан драйвер hvmm.sys, который может читать содержимое памяти гостевой ОС напрямую из root-ОС минуя интерфейсы гипервизора и драйвера vid.sys. Драйвер hvmm.sys был интегрирован в проект LiveCloudKd.
В целом статья представляет материал в стиле Windows Internals и описывает то, как работает память ОС. Зачем? Чтобы узнать, как работает достаточно популярная технология Microsoft. Также может пригодиться специалистам, увлекающимся форензикой и разбирающим дампы памяти. Andrea Allievi готовит детальное описание актуальной версии Hyper-V для 2-й части 7-й версии книги Windows Internals, но пока книга не была издана, можно будет почитать эту статью и кратко ознакомиться с архитектурой памяти.
К сожалению, информация о структурах в символах для vid.sys отсутствует, поэтому название таких структур в статье выполнено произвольно исходя из сигнатур, которые в них присутствуют. Andrea Allievi упоминал “bucket” структуры в своей презентации, но как конкретно они реализованы в драйвере vid.sys – неизвестно. Если в следующей части Windows Internals будет детальное описание этих структур, то наименования будут исправлены, технические детали работы от этого не изменятся.
Работа с памятью Full VM и контейнеров посредством прямого доступа
Основным процессом, который управляет работой виртуальной машины, является vmwp.exe. Его запускает vmms.exe в случае запуска полноценной виртуальной машины, или vmcompute.exe в случае запуска контейнеров. При запуске процесс vmwp.exe через интерфейс vid.dll обращается к интерфейсам гипервизора – гипервызовам (hypercalls). Я собрал статистику гипервызовов для VM Windows Server 2019, контейнера Docker в режиме изоляции Hyper-V (образ nanoserver:1809) и контейнера WDAG. WDAG-контейнер генерирует слишком много гипервызовов, поэтому из-за торможения, вызванным записью результатов отладчиком, контейнер сразу начал выключаться после включения (управляющее приложение контролирует таймауты выполнения некоторых процедур), в связи с чем результаты по WDAG содержат общий показатель (надеюсь попробовать dtrace, относительно недавно доработанный под Windows, для сбора подобной статистики – по идее, он должен снизить издержки на запись собранных данных). Отдельно зафиксирован показатель по выключению, так что порядок оценить можно. По сравнению с обычными виртуальными машинами он достаточно большой:
Какие категории гипервызовов можно выделить? Создание раздела, установка его свойств, создание, виртуальных процессоров, виртуальных портов (используются для отправки сигналов, сообщений), установка перехватов (interceptions), и различные гипервызовы для работы с памятью.
Функция winhvr!WinHvMapGpaPagesFromMbpArrayScanLargePages. В Rdx указывается номер страницы, в rsi – размер (так же в страницах).
При запуске Windows Server 2019 с 1500 Mb оперативной памяти получаем.
При запуске Windows Server 2019 с 2300 Mb оперативной памяти получаем
1-й вызов: rdx=0000000000000000 rsi=000000000008fc00
2-й вызов: rdx=00000000000f8000 rsi=0000000000000800
3-й вызов: rdx=0000000000fff800 rsi=000000000000024a
Memory Compression в Windows 10 — что это такое?
Приветствую всех, разбираемся с такой штукой как Memory Compression в Windows 10.. что это такое? Да, по названию могу предположить, что связано с оптимизацией памяти.. но нужно разобраться точно.
Значит покопался в интернете, вот что выяснил — переводится как сжатая память, это название вы можете увидеть в другом названии — Система и сжатая память. Может использовать много оперативной памяти.
Еще узнал, что процесс Система и сжатые файлы (System and compressed memory) — один из компонентов и.. вроде бы это какое новшество. Этот процесс уменьшает обращение к файлу подкачки, он помещает данные вместо этого в память в сжатом виде. Да, это как бы должно ускорить работу. Но вот… сжатие памяти и ее обратный процесс — не может обходиться без ресурсов процессора, поэтому на практике спокойно могут быть тормоза.
Жесткий диск — память, где хранятся файлы. Она медленная. SSD — уже намного быстрее, но все равно, по сравнению с оперативной памятью — очень медленный. Именно оперативная память — очень быстрая, поэтому хранение данных в ней всегда улучшает быстродействие компа.
Если вы используете проги, которые могут требовать много оперативки.. ну или в Хроме открыли кучу вкладок.. то процесс Система и сжатые файлы может использовать много оперативки. Это как бы нормально, но вот глюки при этом, разумеется должны отсутствовать.
Вот собственно сам процесс:
И как видите, даже здесь он много кушает оперы.. больше чем полгига..
Как отключить Система и сжатые файлы?
Если попробовать этот процесс завершить — могут быть проблемы.. об этом Windows вас предупредит таким сообщением:
Думаю вы понимаете, что это связано с тем, что вы получается завершите работу процесс.. в памяти которого содержатся данные, которые проги используют в данный момент.
Но можно ли отключить вообще? В интернете есть способы, например отключение службы SuperFetch. Теоритически — похоже что эта служба и отключает работу Система и сжатые файлы.. но насколько я знаю, SuperFetch отвечает за кэширование файла. То есть немного другое. Поэтому.. я на всякий случай напишу как отключать SuperFetch, после отключения ничего страшного не будет, но потребление памяти и правда может уменьшиться. В общем отключить можно так:
Второй способ отключения, скорее всего более корректный
Но способ, более логичный — при помощи командой строки PowerShell, запущенной от администратора, для этого можно зажать Win + X и потом в менюшке выбрать этот пункт:
Либо просто откройте меню Пуск, найдите там Windows PowerShell, откройте папку, нажмите правой кнопкой по PowerShell и выберите пункт запуска от администратора:
Далее нужно указать команду для отключения:
Команду нужно вставить и нажать энтер. А после — выполнить перезагрузку. Потом, после перезагрузки советую проверить.. нужно снова запустить PowerShell и вставить команду:
Она покажет — включено сжатие памяти или нет. Нужно посмотреть в графу MemoryCompression, если там указано True значит включено:
Хм, если отключено.. то наверно будет написано обратное True, то есть False.
Ребята, на этом все. Надеюсь вам эта информация пригодилась. Если что не так, то сори. Удачи и добра, до новых встреч господа!
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Memory Reclaim in the Windows Subsystem for Linux 2
We’ve added a new Windows Subsystem for Linux (WSL) feature in Windows Insider Preview Build 19013: Memory Reclamation for WSL 2! Previously, when the memory needs of the WSL2 Virtual Machine (VM) would grow, either from your workflow or by the Linux kernel, the overall memory allocated to the VM would also grow by allocating more memory from the host. But, once the workflow is done, that memory which is no longer needed by the workflow would not get released back to the host. Now with memory reclamation in WSL 2, when the memory in Linux is no longer needed it can be reported back to the host where it will be freed and your WSL 2 VM will shrink in memory size.
You can learn all about this new feature by checking out the quick video below or reading on in this blog post.
Hands on with memory reclamation
When a Linux process releases in-use memory, that memory will then be returned to the Windows host. Let’s break this down with an example.
We’ll run a simple C application which will use a large amount of memory. Here’s the source code:
Once we run the app, memory use in our Linux distro grows and so does our WSL 2 VM’s memory in Windows.
Then we free the in-use memory, and the ‘vmmem’ process which powers your WSL 2 VM shrinks back down in size, meaning that freed memory is now back on your Windows host, and ready to be used in other applications!
The other half of the story: cached memory
User processes are not the only things that use memory in the Linux VM. The Linux kernel also uses many caches including a page cache, which caches file contents to improve file system performance. Let’s look at a more real-world example to see how this comes into play.
After we build the images and run the containers, our memory usage is sitting at 2 GB in Windows, even though our in-use memory in Linux is just at 50MB.
This is because we accessed a lot of different files, and now our page cache is at 1.7GB in size. We do not free the page cache until the Linux kernel frees it. This is a design decision to ensure you experience the performance improvements of the page cache. If you wish to drop the contents manually you can run echo 1 > /proc/sys/vm/drop_caches as the root user to do so. Once that memory is freed, then it will also be returned to Windows and your WSL2 VM will shrink in size. In this example, when I close my terminal Windows running the WSL distro the page cache is freed naturally by the Linux kernel.
How it works
Feedback
If you have any questions, or want to stay up to date with news you can find a list of WSL team members that are active on Twitter here. If you run into any technical problems please file an issue on our Github repo: Microsoft/WSL. We’ll be looking forwards to hearing what you think of the new feature!
Sample commits in the WSL 2 Linux Kernel to enable page reporting: #1 and #2.