Microsoft SysInternals besser verstehen: Process Explorer

In den letzten beiden Teilen unserer kleinen Microsoft SysInternals Serie haben wir uns intensiver mit dem Process Monitor von Microsoft befasst. Wir haben die Möglichkeiten des Microsoft SysInternals Process Monitor kennengelernt und uns die Bedienung im Einsatz angeguckt. Heute machen wir den nächsten Schritt und beschäftigen wir uns mit dem Microsoft SysInternals Process Explorer. Der Process Explorer ist wohl das meistgenutzte und vermutlich das wichtigste Tool der Microsoft SysInternals Suite. Du hast ihn sicherlich schon benutzt – Was macht der Process Explorer aber eigentlich und wie gut kennst du das Tool wirklich? Lassen wir uns überraschen! 🙂

Was ist der Microsoft SysInternals Process Explorer?

Zunächst einmal kann man den Process Explorer von Microsoft als einen Taskmanager bzw. als System Monitor bezeichnen. Die erste Version des Microsoft Process Explorers wurde im Jahre 2001 veröffentlicht. Damals unterstützte das Tool noch Windows 9x. Heute wird mindestens Windows XP vorausgesetzt. Natürlich wurde der Feature-Umfang im Laufe der Jahre auch kontinuierlich angepasst, so dass der Microsoft SysInternals Process Explorer heute eigentlich das Standardtool ist, um Troubleshooting mit Prozessen zu betreiben.

Was genau kann der Process Explorer jetzt noch?

Vorweg: Der SysInternals Process Explorer besitzt viele Features, also richtig viele Features! Teilweise sind diese Features auch sehr tief unter der Oberfläche. Also wird es uns im Rahmen dieses Artikels nicht möglich sein alle Features bis ins letzte Detail zu beschreiben. Im Folgenden versuchen wir die wichtigsten Möglichkeiten der Process Explorers zu beschreiben. Sollten wir eurer Meinung nach also irgendetwas Wichtiges vergessen haben, fühlt euch frei uns einen Kommentar zu hinterlassen und wir werden das hier entsprechend ergänzen:

Tree View: Die Baumansicht, die standardmäßig aktiv ist, ermöglicht es dir die Prozess-Hierarchien abzubilden. Du kannst also genau sehen welche Prozesse in einer Beziehung (Parent – Child) zueinander stehen. Das Ganze wird noch durch eine Farbkodierung unterstrichen, so dass wirklich jeder sich einen Reim darauf bilden kann.

CPU Usage Tracking: Der Process Explorer zeigt dir genau an welcher Prozess wie viel CPU-Last verursacht. Gut, das kann man jetzt auch mit dem ursprünglichen Taskmanager sehen meinst du? Klar, der hier hat aber den Ruf deutlich genauer zu sein.

Ersetzen des Standardtaskmanager: Ab Windows XP kann man den eigentlichen Taskmanager, der standardmäßig bei Windows dabei ist, komplett gegen den Process Explorer austauschen.

hinzufügbare Tray-Icons: Der Process Explorer bietet dir die Möglichkeit Icons im Systray für CPU, Disk, GPU und Netzwerk anzulegen. So kannst du die Last der einzelnen Komponenten immer komfortabel im Überblick behalten.

aktuell geladene DLLs: Natürlich gibt es auch die Möglichkeit zu sehen, welcher Prozess welche DLLs gerade geladen hat. Das fällt dann schon in den Bereich „advanced TroubleShooting“.

offene Fenster, gesperrte Dateien und Ordner: Natürlich kann man auch einsehen, welche Fenster gerade durch einen Prozess geöffnet sind oder aber auch welche Dateien oder Ordner gerade noch durch einen Prozess gesperrt sind. Das ist zum Beispiel sehr hilfreich, wenn man herausfinden will wer dafür verantwortlich ist, dass ein Programm nicht korrekt beendet wird.

vollständige Background-Info zum Prozess: Allgemein ist es natürlich Möglich sämtliche Informationen zu einem Prozess zu bekommen. Hierzu gehören zum Beispiel die Speichernutzung, Threads, Handles und Objects, etc..

Beenden von Prozessbäumen: Prozesse können wie im Taskmanager beendet werden. Man kann aber auch optional ganze Prozesshierarchien beenden und somit auch etwaige Prozessleichen erwischen.

Einfrieren von Prozessen: Neben dem bloßen Beenden von Prozessen, ist es mit dem Process Explorer auch möglich Prozesse schlicht anzuhalten und später weiterlaufen zu lassen. Ein nettes Feature. Probiert es einmal aus.

Informationen zur Prozesslast: Ein Standardfeature, das aber trotzdem nicht unerwähnt bleiben soll, ist die Möglichkeit nachzuvollziehen welcher Thread ggf. die CPU voll auslastet. Aufgrund der Einfachheit ist das ein gerne unterschätztes Feature. Es wird aber häufig genutzt. Eigentlich kenne ich niemanden, der das noch nicht genutzt hat.

Viren Check: Die aktuelle Version, 16.04, bietet die Möglichkeit einen Prozess mit VirusTotal zu überprüfen. Hierfür muss man den Process Explorer noch nicht einmal verlassen. Klasse, oder?! 🙂 Wir fassen also zusammen. Immer wenn irgendetwas deinen Computer einfriert lässt oder bei Problemen mit einer Anwendung, kann dir der Process Explorer helfen das Problem zu ergründen.

Microsoft SysInternals Process Explorer Interface

Kommen wir nun zur Standardansicht und gucken uns die Baumansicht etwas genauer an.

Process Explorer default User Interface

Microsoft SysInternals Process Explorer User Interface nach dem Starten des Programms.

Im Gegensatz zum Process Monitor empfinde ich das Interface des Process Explorers als sehr aufgeräumt. Im oberen Bereich sehen wir neben dem üblichen Menü ein paar kleine Graphen, die uns Livedaten des Systems liefern. Wenn man auf diese klickt, werden die Infos sogar in groß angezeigt. Unter der Menüzeile geht es dann weiter mit der Baumansicht der Prozesse, die auf dem System aktiv sind. Rechts neben dieser hierarchischen Ansicht tauchen dann wieder Spalten auf, die zusätzliche Informationen liefern. Zum besseren Verständnis gehen wir diesen ganzen Bereich unterhalb der Menüleiste jetzt einmal kurz durch:

Process: Hier wird der Dateiname des EXE-Datei inklusive Icon, sofern vorhanden, angezeigt.

CPU: Die CPU-Zeit, die in der letzten Sekunde genutzt wurde, wird hier in Prozent angezeigt. Wichtig ist hier zu wissen, dass man „Update Speed“ im Menü „View“ anpassen kann. Die „letzte Sekunde“ ist also nur solange gesetzt bis man diesen Wert verändert.

Private Bytes: Mit diesem Wert zeigt der Process Explorer an wie viel Speicher der Prozess ganz für sich allokiert hat.

Working Set: Das „Working Set“ gibt den durch Windows tatsächlich allokierten RAM an.

PID: Wie beim Process Monitor wird hiermit der Process Identifier angegeben und ist somit eindeutig identifizierbar.

Description Hier wird, sofern vorhanden, eine kleine Beschreibung der Anwendung angezeigt.

Company Name: Wie der Name schon sagt, wird hier der Name des Unternehmens angezeigt. Das kann nützlicher sein als so mancher denkt. Darauf werdet ihr aber bestimmt selbst kommen, wenn ihr euch auf dem System einen kleinen „Schnupfen“ oder so eingefangen habt. 😉 Ihr könnt euch auch noch weitere Spalten einblenden lassen. Das passiert, wie auch beim Process Monitor, einfach über das „View“- Menü und Auswahlpunkt „Select Columns“:

Spaltenauswahl im Interface

Microsoft SysInternals Process Explorer Auswahl der Spalten in der Ansicht

Natürlich könnt ihr die Zeilen auch sortieren. Zum Beispiel klickt ihr einfach auf CPU-Last und bekommt somit die Prozesse ganz oben angezeigt, die die meiste CPU-Zeit ziehen. Das funktioniert pro Spalte einwandfrei. Nachdem wir jetzt die Ansichten sortieren können und auch wissen wie man die „Update Speed“ beeinflussen kann, gucken wir uns nun an wie wir die Ansicht „pausieren“. Einmal bitte die „Space“-Taste drück: Fertig! Wenn ihr nochmal die „Space“-Taste drückt, läuft es weiter. Einfach, oder? Ist das jetzt hilfreich? Natürlich! Wenn ihr Prozesse beobachten wollt, die sich schnell wieder beenden, könnt ihr dieses Feature wunderbar nutzen. Hierfür würde ich euch dann allerdings auch empfehlen alle benötigten Spalten vorher einzublenden. Ein Doppelklick auf den Prozess, der zwar in der Anzeige zu sehen ist, aber im Hintergrund schon nicht mehr läuft, spuckt einfach weniger Infos in der Detailansicht aus. Klar, oder?

Der Farb-Code des Process Explorer

Microsoft-SysInternals-Process-Explorer-color-selection

Erklärung zur Farbcodierung im Microsoft SysInternals Process Explorer.

Sicherlich ist euch schon aufgefallen, dass die Baumansicht mit unterschiedlichen Farbcodierungen arbeitet. Das heißt, dass einige Prozesse eingefärbt sind und somit optisch herausstechen. Was heißen aber die einzelnen Farben jetzt genau?

New Objects = Hellgrün: Neue Prozesse im Process Explorer werden zum Start mit hellgrün gekennzeichnet und so hervorgehoben.

Deleted Objects = Rot Das Beenden eines Prozesses wird hingegen mit rot gekennzeichnet.

Own Process = Hellblau Prozesse, die im gleichen Benutzerkontext wie der Process Explorer laufen, werden in hellblau (oder helllila, wenn die Farbe so interpretiert wird) gekennzeichnet.

Services = Rosa Dienste warden in rosa dargestellt. Hier ist noch wichtig zu beachten, dass ein Prozess, der in einem anderen Benutzerkontext läuft, auch einen anderen Farbcode haben kann. Dank der Hierarchischen Baumansicht stellt das aber trotzdem kein Problem dar.

Suspended Processes = Dunkelgrau Angehaltene Prozesse werden ganz schlicht und einfach dunkelgrau dargestellt. Das Anhalten und erneute Starten funktioniert – wie bereits erwähnt – ganz einfach über das Kontextmenü des jeweiligen Prozesses.

Packed Images = Lila Lila bedeutet, dass der Process Explorer denkt, dass komprimierter Code im Prozess enthalten ist. Hier wäre ggf. eine Überprüfung auf Maleware angebracht. Eigentlich ist diese Farbe meiner Meinung nach für diesen Hintergrund zu unspektakulär gewählt.

Immersive Process = Türkis Ein „immersive Process“ ist meistens ein Prozess, der zu einer Windows 8 Anwendung gehört und auch die neue Windows 8 API nutzt. Das neue Start Menü unter Windows 8 wird zum Beispiel auch „immersive Shell“ genannt. Es gibt durchaus Prozesse, die als normaler Prozess gestartet werden und dann sich in einen „immersive process“ verwandeln. Ich weiß aktuell leider aber nicht warum der Explorer als „immpersive process“ markiert wird. Das Ganze ist aber auch wohl eher für Entwickler interessant.

Das Menü zum Anpassen der Farbcodierung findet ihr unter „Options“ und dann „Configure Colors…“

Ist es sinnvoll den Taskmanager durch den Process Explorer zu ersetzen?

Das ist eine Frage, die sich nicht so leicht beantworten lässt. Es macht natürlich Sinn, wenn man immer diesen Informationsmehrwert haben möchte und häufiger unter die Haube guckt. Auf der anderen Seite gibt es auch Berichte, dass es zu Problemen kommen kann, wenn man den Explorer neustarten möchte/muss. Das soll dann häufiger auf die Bretter gehen. Mit dem Taskmanager gibt es hier hingegen keine Probleme. Ich für meinen Teil ersetze hier nichts, sondern öffne einfach den Process Explorer, wenn ich ihn brauche. Viele Task, die ich erledigen muss, werden aber einfach mit dem Standard Taskmanager abgefrühstückt.

Was, wenn ihr nicht alle Informationen angezeigt bekommt?

Dann habt ihr das Tool vermutlich nicht explizit als Administrator gestartet. Das solltet ihr aber immer machen. Der Process Explorer bedient sich der „debug privilege“ Rechte und kann nur deshalb so tiefgehende Infos abgreifen. Das benötigt nun einmal Administratorrechte. Mit einem rechten Mausklick auf die Process Explorer Verknüpfung und dann den Gang über die „Eigenschaften“ könnt ihr unter dem Reiter „Kompatibilität“ aber auch einstellen, dass das Programm immer als Administrator gestartet werden soll. Hierfür müsst ihr einfach den entsprechenden Haken setzen und los geht’s!

Microsoft SysInternals Process Explorer im Administratorkontext starten

Microsoft SysInternals Process Explorer wird immer als Administrator gestartet.

 

Welche Möglichkeiten habe ich mit Prozessen zu arbeiten?

Nachdem ihr jetzt viel über den Aufbau und optischen Darstellungsmöglichkeiten erfahren habt, kommen wir jetzt zum eigentlichen Prozess. Welche Möglichkeiten haben wir Prozesse zu untersuchen, die uns nicht koscher vorkommen bzw. deren Eigenschaften wir einfach so überprüfen wollen?

Microsoft-SysInternals-Process-Explorer-process-actions

Actions-Menü zum einzelnen Prozess im Microsoft SysInternals Process Explorer

Zunächst einmal sollten wir uns angucken, was über das Kontextmenü alles möglich ist. Über dieses Menü werden nämlich fast alle „Aktionen“ durchgeführt. Aber gehen wir alle der Reihe nach durch:

Window: Grundsätzlich gibt es hier die Möglichkeiten „Bring to Front“, „Restore“, „Minimize“, „Maximize“ und „Close“. Das sind ungefähr die Optionen, die man auch aus dem Explorer heraus kennt und selbsterklärend. Sollten Optionen

für den Prozess nicht verfügbar sein, so sind diese auch ausgegraut.

Auswahlmenü zum Windows Action-Menü

 

Set Affinity…: Über „Set Affinity“ könnt ihr beeinflussen welche CPU, sofern mehrere vorhanden sind, mit diesem Prozess arbeitet“.

CPU Process Affinity Auswahlmenü im Microsoft SysInternals Process Explorer

CPU Process Affinity Auswahlmenü im Microsoft SysInternals Process Explorer

Set Priority: Über das „Setzen der Priorität“ könnt ihr steuern welche Beachtung der Prozess bekommen soll. Das macht zum Beispiel Sinn, wenn man einen Prozess wieder „einfangen“ möchte, den man aber nicht abschießen will. Auswahl der Prozesspriorität im CPU Process Affinity Auswahlmenü im Microsoft SysInternals Process Explorer

Kill Process: Wie der Name schon verrät, kann man hiermit den Prozess einfach abschießen.

Kill Process Tree: Auch dieser Name ist relativ selbstsprechend. Hier wird der Prozess inklusive aller untergeordneten Prozesse abgeschossen.

Restart: Beendet einen Prozess und startet diesen im Anschluss gleich wieder neu. Kann gut beim Testen helfen.

Suspend: Hält den ausgewählten Prozess an und kann später einfach wieder auf das System losgelassen werden. (Resume)

Create Dump: Mit dieser Option kann man – wer hätte es gedacht – Dumps erstellen. Das funktioniert in zwei Varianten, sprich „Create Minidump“ und „Create Fulldump“. Das Ganze wird dann als DLP Datei abgespeichert und kann dann weiter analysiert werden.

Check VirusTotal: Mit dieser Option kann man den Process mit Hilfe von VirusTotal gleich überprüfen und auf Herz und Nieren checken lassen. Im Anschluss wird dann ein ein Wert ausgegeben auf den ihr klicken könnt. Es öffnet sich dann automatisch der Browser und zeigt euch auf der Virustotal-Seite dazugehörige Infos an.

VirusTotal Integration im Microsoft SysInternals Process Explorer

VirusTotal Integration im Microsoft SysInternals Process Explorer

Properties: Die Schaltfläche „Properties“ öffnet schlicht und einfach ein zusätzliches Fenster mit den Eigenschaften des Prozesses. Den gleichen Effekt könnt ihr im Process Explorer auch erreichen, wenn ihr doppelt auf den Prozess klickt.

Prozesseigenschaften im Microsoft SysInternals Process Explorer

Prozesseigenschaften im Microsoft SysInternals Process Explorer

Search Online… Dieser Menpüpunkt ruft einfach euren Browser mit dem Standard SearchProvider auf und sucht nach dem Prozessnamen. Eher unspektakulär, aber ab und zu nützlich.

Identität eines Prozesses

In Zeiten von Viren und Maleware ist es manchmal wichtig das System genauer zu überprüfen. Natürlich schlafen die Entwickler der Schadsoftware auch nicht und benennen ihre Programm nach einem ähnlichen Namen wie Microsoft oder andere Anbieter selbst. Das hat zur Folge, dass man schon lange nicht mehr vom Prozessnamen darauf schließen kann, ob der Prozess vertrauenswürdig ist oder nicht. Wenn ihr also feststellen wollt, ob ein Prozess verifiziert oder signiert ist, könnt ihr über das Menü „Options“ den Punkt „Verify Image Signatures“ auswählen. Es wird dann eine weitere Spalte mit Informationen zum „Verified Signer“ eingeblendet. Sehr schade, dass das nicht standardmäßig mit eingeblendet ist:

Anzeige der verify Images signatures im Microsoft SysInternals Process Explorer

Anzeige der verify Images signatures im Microsoft SysInternals Process Explorer

Das war es auch schon für den ersten Teil. Im nächsten Teil zeigen wir das Tool im Einsatz und demonstrieren dann ein bisschen wie alles funktioniert.

Print Friendly, PDF & Email
2 Kommentare

Trackbacks & Pingbacks

  1. […] wswien 8086 (adsbygoogle = window.adsbygoogle || []).push({}); Gefunden: https://www.vguru.de/grundlagen/micro…cess-explorer/ Lg, […]

  2. […] ersten Teil unserer kleinen SysInternals Process Explorer Reihe haben wir uns mit den Grundlagen des SysInternals Process Explorer beschäftigt. Heute wollen wir uns ein zwei leichte Einsatzszenarien angucken und über kleinere […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.