ra2 studio - Fotolia

Vier Einsatzmöglichkeiten für den Sysinternals Process Explorer

Sysinternals Process Explorer ist ein wichtiges Tool zur Systemanalyse. Diese vier Beispiele zeigen, was er leisten kann.

Der Process Explorer ist Bestandteil der Sysinternals Suite, die als kostenloser Download von Microsoft TechNet verfügbar ist oder sogar als Code direkt aus dem Internet heraus ausgeführt werden kann, wenn man sich die Mühe sparen möchte, eine ZIP-Datei herunterzuladen und zu entpacken. Der Sysinternals Process Explorer dient generell der Systemanalyse und Windows-Optimierung, kann aber zum Beispiel auch dazu verwendet werden, blockierte Dateien und Verzeichnisse zu prüfen, verdächtige Software zu identifizieren oder auch Prozesszugehörigkeiten offenzulegen.

Wenn Sie das erste Mal die Thread-Registerkarten von Process Explorer auf der Eigenschaftenseite betrachten, um einen laufenden Prozess zu finden, erhalten Sie vermutlich eine Fehlermeldung, die Sie darüber informiert, dass Ihre Version der Dbghelp.dll den Microsoft Symbol Server nicht unterstützt.

Um dieses Problem zu beheben, klicken Sie auf den Link Microsoft Debugging Tools, um die passende Version herunterzuladen und anschließend zu installieren. Scrollen Sie die Seite herunter, bis Sie bei den Debugging Tools angekommen sind, die Ihrer Windows-Version entsprechen.

Zur Installation der Debugging-Tools entfernen Sie die Markierungen sämtlicher Features im Installer mit Ausnahme von Debugging Tools for Windows. Haben Sie die Debugging-Tools dann einmal installiert, so zeigt Ihnen die Registerkarte Threads Informationen über alle Threads an, die zu dem von Ihnen betrachteten Prozess gehören.

Wenn der Process Explorer erstmalig auf Windows 10 startet, werden jede Menge Elemente in der Liste farbig markiert. Um ein Farbschema zu erzeugen, klicken Sie im Menü Options auf Configure Highlighting.

Abbildung 1: Farbwahl für Sysinternals Process Explorer.

Abbildung 2 zeigt, dass die meisten Vorgänge als Jobs kategorisiert sind, die Hintergrund- und Betriebssystemprozesse repräsentieren. Lila eingefärbte Elemente sind Packed Images, die komprimierten Code enthalten – in diesem Fall iexplorer.exe, der Prozess für Internet Explorer. Das blaue Element (csrss.exe) ist das im Anzeigebereich ausgewählte Element. Gelb signalisiert einen verlagerten DLL- oder .NET-Prozess – sidebar.exe beispielsweise gehört zu letzteren.

Abbildung 2: Übersicht im Process Explorer.

Die Standardansicht von Process Explorer ist die Baumansicht, die sämtliche Prozesse anzeigt, die derzeit in Windows auf der Zielmaschine laufen. Organisiert sind sie nach ihrer Gesamtpriorität. Eine nicht standardmäßig ausgewählte Option ist Verify Image Signatures. Es lohnt sich, diese Option zu aktivieren, damit Process Explorer die digitalen Signaturen sämtlicher entdeckter ausführbarer Dateien überprüft. Er kann ihnen auf dieser Basis Malware, Adware und andere unwillkommene Software auf Ihrem PC anzeigen, wenn diese Probleme verursachen.

Ein Rechtsklick im Prozesseintrag gibt Zugriff auf Optionen wie etwa der Möglichkeit, den Prozess oder den Prozessbaum, dem er angehört, zu beenden, ihn auszusetzen oder neu zu starten. Sie können auch das dem Prozess zugeordnete Fenster in den Vordergrund holen, Affinitäten (andere Prozesse, neben denen dieser ablaufen sollte) und Prioritäten (wie oft sollte der Prozess CPU-Ressourcen erhalten) festlegen und den Prozess sogar auf Basis des Namens im Internet recherchieren.

Blockierte Dateien und Verzeichnisse prüfen

Wenn Sie vom Datei-Explorer eine Fehlermeldung mit dem Wortlaut This action can't be completed because the folder or a file in it is open in another program erhalten, dann ist diese Datei oder dieses Verzeichnis vermutlich blockiert.

Sie können im Process Explorer nach dem Namen der Datei oder des Verzeichnisses suchen, um den Prozess herauszufinden, der die Blockierung verursacht hat. Klicken Sie dafür einfach auf das Suchen-Icon – die Brille in der Toolbar am oberen Rand des Programmfensters – oder betätigen Sie die Tastenkombination Strg + F, um die Suchmaske in Process Explorer anzuzeigen. Tippen Sie dann den Namen der Datei oder des Verzeichnisses in das Textfeld für die Suche ein.

Der Process Explorer zeigt anschließend, welcher Prozess die Datei oder das Verzeichnis in seinen Fängen hat. Sie können dann entweder diesen Prozess schließen oder mit der rechten Maustaste auf den Eintrag klicken, zu dem die Datei oder das Verzeichnis gehört, und dann im erscheinenden Kontextmenü die Option Close Handle wählen. Nicht gespeicherte Änderungen in diesem Prozess können dabei aber wie üblich verloren gehen.

Verdächtige Software aufspüren

Klicken Sie mit der rechten Maustaste auf einen beliebigen Prozesseintrag im Hauptfenster von Process Explorer, so können Sie aus dem erscheinenden Popup-Fenster Eigenschaften auswählen. Standardmäßig öffnet sich dieses Fenster mit ausgewählter Registerkarte Image. Ein wichtiger Eintrag auf dieser Registerkarte ist Current Directory. Viele Malware-Prozesse tarnen sich als Service Host Process, oder svchost.exe, einem generischen Prozess, der auf jedem Windows-System normalerweise in mehreren Instanzen läuft.

Svchost.exe sollte ausschließlich im geschützten Verzeichnis \Windows\System32 ablaufen. Finden Sie eine Instanz des Prozesses, die in einem anderen Verzeichnis abläuft – insbesondere außerhalb der Hierarchie des Windows-Verzeichnisses –, so ist das ein sicheres Zeichen für Malware oder andere Software, von der man sicher nicht will, dass sie vorgibt, ein legitimer Windows-Prozess zu sein.

Prozesszuordnungen erkennen

Nutzen Sie den Sysinternals Process Explorer und stoßen dabei auf einen ungewohnten Prozess, so sollten Sie in Erfahrung bringen, wo Ihre Laufzeitumgebung diesen Prozess verwendet. Öffnen Sie hierzu das Suchfenster und tippen Sie den Namen des Prozesses ein. Klicken Sie in der Suchergebnisliste auf einen Eintrag dasHost.exe – den Prozess, der Ihren Posteingang überwacht und Bildschirmmeldungen einblendet, wenn Sie neue E-Mails erhalten –, so werden im Hauptfenster von Process Explorer diejenigen Prozesse markiert, in denen diese Instanz referenziert wird. Auf diese Weise können Sie die oftmals komplexen Beziehungen zwischen Prozessen in der Windows-Laufzeitumgebung erkunden.

Prozesse und Objektprivilegien inspizieren

Klicken Sie mit der rechten Maustaste auf einen Prozess oder Handle im Process Explorer, um das Eigenschaftenfenster einzublenden. Klicken Sie dann auf die Registerkarte Security, um die Security-Gruppen zu überprüfen, denen das Objekt angehört, sowie auch die Sicherheitsprivilegien und deren Einstellungen. Dies wird nicht für sämtliche Handles funktionieren, aber für viele und kann außerordentlich hilfreich sein, wenn Sie Probleme im Bereich von Privilegien, Zugriffen oder Gruppenrichtlinien angehen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Erfahren Sie mehr über Desktop-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close