Microsoft SysInternals besser verstehen: Process Explorer im Kurzeinsatz

Im ersten Teil unserer kleinen SysInternals Process Explorer Reihe haben wir uns mit den Grundlagen des SysInternals Process Explorer beschäftigt. Heute wollen wir uns ein zwei leichte Einsatzszenarien angucken und über kleinere Diagnose-Tasks die Benutzung des Process Explorer etwas näher bringen. Nachdem der erste Teil ja recht lang geworden ist, wird das hier heute also nur ein „quickie“.. 🙂

 

1.) Process Explorer – Warum wird der Prozess XY gestartet?

In meiner Test-VM, die unter Windows Server 2012 R2 läuft, wird immer der Prozess „TPAutoConnSvc.exe“ beim Hochfahren der Maschine gestartet. Jetzt interessiert mich natürlich wo das Ganze her kommt damit ich das ggf. unterbinden kann.

Wir untersuchen einen Autostart-Eintrag mit dem Microsoft SysInternals Process Explorer

Wir untersuchen einen Autostart-Eintrag mit dem Microsoft SysInternals Process Explorer

Um das weiter aufzuschlüsseln, blende ich mir einfach eine weitere Spalte in der Ansicht ein. Mit der Spalte „Autostart Location“ bekomme ich sofort die Info, die ich haben möchte:

Services im Properties Menü des Prozesses im Microsoft SysInternals Process Explorer

Die Spalte Autostart Location wird im Microsoft SysInternals Process Explorer eingeblendet

Hier sehe ich also den Schlüssel, der dafür sorgt, dass der Prozess gestartet wird. Jetzt sieht das natürlich schon sehr verdächtig nach einem Dienst aus. Genaueres erfahre ich aber erst, wenn ich die Prozesseigenschaften des Prozesses im Process Explorer öffne:

Microsoft SysInternals Process Explorer identifiziert den Prozess als Service.

Microsoft SysInternals Process Explorer identifiziert den Prozess als Service.

Der erste Blick auf die angebotenen Reiter entlarvt die Herkunft natürlich sofort. Der „Services“-Reiter wird angeboten und wenn wir diesen auswählen, bekommen wir auch den zuständigen Dienstnamen angezeigt. Jetzt wo wir den Dienstnamen kennen, können wir entscheiden, ob wir den Dienst weiterhin beim Starten des Systems ebenfalls starten lassen wollen oder das Ganze anders konfigurieren wollen. Soweit so einfach, oder? Wie hättet ihr das ohne Process Explorer gemacht?

 

2.) Process Explorer – Wie gehe ich mit gesperrten Dateien und Ordnern um?

 

Datei kann nicht gelöscht werden, da die Datei noch "in Use" ist.

„File Lock“ und „Folder Lock“ Probleme mit dem Microsoft SysInternals Process Explorer untersuchen

Wer kennt es von euch nicht? Da ist man fest entschlossen hinter sich aufzuräumen und möchte Dateien oder Ordner löschen und schon kommt die Meldung, dass das nicht geht, weil der „Folder in Use“ ist. Wie geht man jetzt hier professionell vor? Neustarten und dann nochmal probieren ist für mich übrigens mehr eine Verzweiflungstat als eine strukturierte Vorgehensweise! – Richtig, wir benutzen den Process Explorer aus der SysInternals Suite von Microsoft. Wie aber genau vorgehen?

Ganz einfach. Ihr öffnet den Process Explorer und springt mit der Tastenkombination STRG + F in das „Suchen“-Menü des Tools. Hier gebt ihr dann den Namen des Ordners (1) ein, den ihr löschen wollt, sucht nach diesem (2) und klickt auf das Ergebnis (3) In unserem Beispiel ist das „blubb“:

Suchdialog im SysInternals Process Explorer

Suchen des betroffenen Objektes im Microsoft SysInternals Prozess Explorer

Im Hintergrund springt die Auswahl im Hauptfenster des Process Explorer auf den passenden Eintrag. Normalerweise wäre jetzt die klassische Reaktion den Prozess einfach zu „killen“. Alternativ könnt ihr aber auch mit der Tastenkombination „STRG + H“ euch die „Handles“ anzeigen lassen. Jetzt wählt ihr den passenden Handle aus und schließt diesen mit Hilfe des Kontextmenüs.

Close Handle Dialog im Microsoft SysInternals Process Explorer

„Close Handles“ im Microsoft SysInternals Process Explorer damit die Datei bzw. der Ordner gelöscht werden kann

Warum sollte man jetzt aber „Close Handle“ benutzen und nicht einfach den Prozess „killen“?

Da gibt es natürlich immer mehrere Meinungen. Hätte ich in diesem Fall die dahinter steckende CMD geschlossen, wären ggf. alle Kommandos weg, die ich in der Historie hatte. Vielleicht möchte ich diese ja aber nochmal in angepasster Form wiederverwenden oder dokumentieren. Es kann jedenfalls immer Gründe geben etwas nicht gleich komplett abzuschießen. Grundsätzlich sollte man sich sowie mit den „Handles“ auseinandersetzen. In der Regel existieren diese nicht ohne Grund.

Das waren jetzt zwei kleinere exemplarische Szenarien zum Einsatz des SysInternals Process Explorer. Natürlich gibt es noch viele weitere und besonders spannend wird der Einsatz, wenn es um das Entfernen von Viren, Maleware oder anderen Schädlingen geht. Hier ist das Tool Gold wert. Die Idee sollte jetzt aber auch schon mit diesen beiden Mini-Beispielen sitzen – den Rest bekommt ihr so hin. Ein bisschen eigener Forschergeist gehört ja dazu! 🙂

In welchen Einsatzszenarien wollt ihr den Process Explorer nicht missen oder wo hat er euch schon einmal vor dem Haare raufen bewahrt? 🙂

Print Friendly, PDF & Email
1 Antwort

Trackbacks & Pingbacks

  1. […] war es auch schon für den ersten Teil. Im nächsten Teil zeigen wir das Tool im Einsatz und demonstrieren dann ein bisschen wie alles […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.