Sysinternals Suite voor Windows 10 – welke gratis tool doet wat?

Noud van Kruysbergen
0

Sysinternals Suite is een verzameling gratis tools waarmee je diep onder de motorkap van Windows 10 kunt kijken en dingen kunt aanpassen. Er zitten meer dan 70 gratis tools in, maar welke gratis tool doet wat je wilt en hoe gebruik je de Sysinternals Suite?

Het doel van dit artikel is om je een overzicht te geven van de Sysinternals Suite. Lees verder hoe je die gratis tools voor je pc kunt gebruiken en wat elke tool doet.

Sysinternals Suite voor Windows 10 gebruiken

Downloaden of online gebruiken

Je kunt het volledige pakket gratis tools downloaden via sysinternals.com. Daar staan drie zip-archieven onder Downloads. Die met de naam Sysinternals Suite is de grootste en bevat de 32- en 64-bit versies van de tools voor x86-pc’s.

De Sys­internals Suite for Nano Server bevat een subset van de 64-bit versies. De Sysinternals Suite for ARM64 bevat, niet geheel verrassend, de 64-bit ARM-versies van de tools, voor zover die als zodanig beschikbaar zijn. Om de versies van elkaar te onderscheiden, verwijzen we in de tabellen verderop naar de 32- en 64-bit versies voor x86-pc’s als x86- en x64-versies, net als Microsoft, en naar die voor ARM64 als ARM-versies.

Sysinternals Suite downloaden bestandsnaam welke moet je hebben

Aan de bestandsnaam kun je zien welke versie zich in welk uit­voerbaar bestand bevindt. De naam verraadt soms ook of het met of zonder GUI is.

Online gebruiken

Je kunt alle programma’s gebruiken, zonder downloaden, door een koppeling met internet te maken:

  1. Druk op Windows+R.
  2. voer het volgende commando uit:
    net use s: https://live.sysinternals.com /persistent:yes
  3. Je vindt alle tools voortaan in Windows Verkenner op het station s:

Vervang s: eventueel door door een andere vrije stationsletter. Om de letter weer vrij te geven klik je met rechts op het station en kies je ‘Verbinding verbreken’.

Sysinternals tools koppelen als netwerkschijf

Alle Sysinternals-tools staan op een Microsoft server, waar je in Verkenner een netwerkverbinding naar maakt met bovenstaande stappen.

 


Blijf op de hoogte van tips voor handige tools en software!
Schrijf je in voor de nieuwsbrief:


 

Dit doet elk programma

In de meeste gevallen geeft de naam van het uitvoerbare bestand enigszins aan wat welke tool uit de Sysinternals Suite doet. Maar de volgende tabellen maken het wat makkelijker.

Tip: gebruik de zoekfunctie van je browser (toetsencombinatie Ctrl+F) om te zoeken op trefwoorden zoals ‘bestandsnaam’ of ‘registersleutel’.

Sysinternals Suite – bestanden en schijven

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
AccessCHKja / ja / neeneetoont de effectieve rechten van bestanden, registersleutels, diensten, processen, etc.
AccessEnumja / nee / neejatoont toegangsrechten voor mappen en registersleutels
CacheSetja / nee / neejade grootte van de systeemfilecache instellen – niet aankomen, dat remt alleen af
Contigja / ja / neeneedefragmenteert afzonderlijke bestanden
Disk usage³ja / ja / neeneeberekent de grootte van een map met alle submappen; bestandsnaam du.exe
Disk2vhdja / nee/ neejakopieert de complete inhoud van een fysieke datadrager inclusief partitionering naar een virtuele harde schijf
DiskExtja / ja / janeelaat zien over welke datadrager een volume verdeeld is (maar kent geen Storage Spaces)
Diskmonja / nee / neejalogt op welke sectoren van welke datadragers toegang wordt verkregen
DiskViewja / nee / neejalaat zien waar de bestanden op een datadrager staan
EFSDumpja / nee / neeneezoekt op een station of in een map naar EFS-versleutelde bestanden; EFS is de NTFS-eigen bestandsversleuteling, niet te verwarren met de schijfversleuteling BitLocker
FindLinksja / ja / janeelaat zien welke hardlinks naar een bestand verwijzen
Junctionja / ja / janeemaakt symbolische links aan en laat die zien
LDMDumpja / nee / neeneetoont informatie over dynamische stations
MoveFileja / ja / janeeverplaatst of verwijdert bestanden bij de volgende herstart, die eerder door andere processen geblokkeerd werden
NTFSinfoja / ja / neeneeinformatie over het NTFS-bestandssysteem van een schijf
PageDfrgja / nee / neeneedefragmenteert bestanden die exclusief geopend zijn; geschreven voor Windows NT en 2000, werkt onder Windows 10 niet meer en is daarom ook niet meer nodig
PendMovesja / ja / janeelaat zien welke bestanden en mappen bij de volgende herstart hernoemd of verwijderd worden
SDeleteja / ja / neeneeverwijdert en overschrijft afzonderlijke bestanden; let op: kopieën in temp-­mappen en de prullenbak blijven bestaan
Sigcheckja / ja / janeeberekent checksums van verschillende formaten voor een bestand en kan die door virustotal.com laten testen
Streamsja / ja / janeelaat zien welke bestanden zogeheten Alternate Data Streams (ADS) bevatten
Syncja / ja / janeehardware veilig verwijderen vanaf de commandline
VolumeIdja / ja / neeneeveranderen van de volume-ID van een datadrager (uit te lezen met ‘fsutil fsinfo volumeinfo d:’, staat onder Volume Serial Number

Sysinternals Suite – netwerken

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
Active Directory Explorer³ja / nee / neejaviewer en editor voor Active Directory; kan snapshots maken en vergelijken; bestandsnaam ADExplorer.exe
AdRestoreja / nee / neeneeherstelt verwijderde objecten in Active Directory
Insight for Active Directory³ ja / ja / jajalaat realtime de interactie tussen clients en de Active Directory zien; helpt om verbindingsproblemen te analyseren; bestandsnaam ADInsight.exe
PipeListja / ja / janeetoont geopende pipes voor interprocescommunicatie
PsFileja / ja / neeneelaat zien welke bestanden en mappen vanuit een andere computer geopend zijn (zoals Computerbeheer / Systeemwerkset / Gedeelde mappen / Geopende bestanden)
PsPingja / ja / neeneeping-vervanging
ShareEnumja / nee / neejatoont alle shares van een Windows-machine
TCPViewja / nee / neejatoont actieve TCP-verbindingen
TCPVConja / nee / neeneetoont de eindpunten van TCP- en UDP-verbindingen
Whoisja / ja / janeewhois-request voor domeinen

Sysinternals Suite – processen

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
Autorunsja / ja / jaja²laat zien wat Windows bij het starten automatisch mee opstart
Handleja / ja / janeetoont welk proces welke bestanden geopend houdt
ListDLLsja / ja / neeneelijst van de door een proces geladen DLL’s
Portmonja / nee / neejamonitort en toont activiteiten op seriële en parallelle poorten
ProcDumpja / ja / janeemaakt handmatig of automatisch dumps van lopende processen
Process ­Explorer³ja / ja / jajaalternatief taakbeheer; bestandsnaam procexp.exe
Process Monitor³ja / ja / jajatoont alle (!) toegang tot bestanden, mappen, Register … bestandsnaam procmon.exe
PsExecja / ja / neeneeprogramma’s met hogere rechten starten, ook remote op andere pc’s
PsGetSidja / ja / neeneeconverteert SID’s naar leesbare namen en omgekeerd
PsKillja / ja / neeneesluit lopende proces(bomen) af, ook remote op andere pc’s
PsListja / ja / neeneedetails over alle lopende processen
PsServiceja / ja / neeneeservices beheren
PsShutdownja / nee / neeneesluit Windows af, ook op andere pc’s
PsSuspendja / ja / neeneepauzeert processen, ook op andere pc’s
ShellRunasja / nee / neejabreidt het contextmenu uit met ‘Run as different user’
VMMapja / ja / jajaanalyse van virtueel en fysiek procesgeheugen

Sysinternals Suite – beveiliging

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
Autologonja / ja / jajastelt automatisch aanmelden voor een account bij Windows in
LogonSessionsja / ja / neeneeinformatie over de op dat moment aangemelde gebruikers- en systeemaccounts
PsLoggedOnja / ja / neeneelaat het aangemelde gebruikersaccount zien
PsLogListja / ja / neeneetoont eventlog-items
Sysmonja / ja / neejalogt security-gerelateerde bestands-, register- en procesoperaties in de logweergave

Sysinternals Suite – systeeminformatie

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
ClockResja / ja / janeetoont de nauwkeurigheid van de systeemklok
Coreinfoja / ja / neeneeleest informatie over de processor uit: features, caches, cores, socket …
LiveKdja / ja / neeneedebugger voor Windows; heeft de Debugging Tool for Windows nodig (WinDbg, KD, CDB, NTSD)
LoadOrderja / ja / neeja²laat zien welke drivers en services tijdens welke fase van het booten geladen worden; de eerste van ntoskrnl.exe (Boot), de volgende van smss.exe (System) tot en met de laatste services.exe (Automatic)
PsInfoja / ja / neeneetoont wat systeeminformatie, ook van remote pc’s; let op: sommige waarden zijn niet betrouwbaar, waaronder die van het RAM
RAMMapja / ja / jajadetails over het RAM-gebruik van processen, bestanden etc.
WinObjja / nee / neejatoont informatie over de namespace van de NT Object Manager

Sysinternals Suite – diversen

ProgrammaVersies: x86 / x64 / ARM64¹GUI (grafische interface?)Beschrijving
BgInfoja / ja / neejazet systeeminformatie op het bureaublad
CPUSTRESja / ja / neejastresstest voor de CPU
Ctrl2capja / nee / neeneemaakt van de CapsLock een Ctrl-toets
DebugViewja / ja / jajavangt debug-output van programma’s af en toont die
Desktopsja / nee / neejavirtuele desktops, bij Windows 10 niet meer nodig
Hex2decja / ja / janeerekent decimaal om in hexadecimaal en omgekeerd
NotmyFaultja / ja / neeja²genereert een bluescreen
PsPasswdja / ja / neeneeverandert wachtwoorden van gebruikersaccounts, ook remote op andere pc’s; bedoeld voor batchscripts om op beheerde computers het adminwachtwoord in een keer te veranderen
RegDelNullja / ja / janeezoekt en verwijdert ongeldige registeritems met null-tekens in de naam
RegistryUsage³ ja / ja / janeeberekent de grootte van registersleutels; bestandsnaam: ru.exe
RegJumpja / nee / neeneeopent Regedit met de meegegeven sleutel, kan sleutel ook van klembord halen
Stringsja / ja / janeetoont alle in een bestand zittende tekenreeksen
Testlimitja / ja / neeneesimuleert voor debugdoeleinden een vol geheugen en andere resource-bottlenecks
ZoomItja / ja / jajabeeldschermloep, door Russinovich vooral gemaakt voor eigen technische voordrachten

Extra opmerkingen bij de tabellen: ¹ afhankelijk van de versie is de bestandsnaam bij x86: naam.exe, x64: naam64.exe, Arm64: naam64a.exe ² afzonderlijke commandlineversie beschikbaar (x86: naamc.exe, x64: naamc64.exe, ARM64: naamc64a.exe) ³ bestandsnaam wijkt af van programmanaam, zie beschrijving

Meer informatie

Tips over de bediening worden door de programma’s zelf gegeven, ook al hebben slechts enkele een afzonderlijke gedetailleerde hulp. Je kunt die downloaden als afzonderlijke bestanden in CHM- of HLP-formaat. CHM-bestanden kunnen worden geopend door er eenvoudigweg op te dubbelklikken. De HLP-bestanden kan Windows daarentegen sinds Vista niet meer weergeven en kun je beter negeren.

Meer informatie en tips voor de verschillende tools vind je ook in c’t magazine 5/2021 en in andere uitgaven van c’t magazine.

Op de Sysinternals-website staan verdere beschrijvingen en instructies. Ze zijn gesorteerd volgens categorieën zoals de tabellen. Je kunt op de website zoeken naar de naam van het programma. Nu we het er toch over hebben: Microsoft biedt ook een forum aan dat gekoppeld is aan de Sysinternals-website (Sysinternals Forum).

(Informatie afkomstig uit het artikel van Axel Vahldiek en Noud van Kruysbergen, c’t magazine 5/2021, p. 38)

Lees uitgebreide workshops en info op je gemak in c't magazine jul/2021

Meer over

Software

Deel dit artikel

Lees ook

Website performance optimaliseren deel 1: data reduceren

Interactieve elementen op je website zoals animaties, video’s en high-res foto’s zijn natuurlijk prachtig, maar maakt hem wel traag. We laten zien ho...

Pdf vergelijken – verschillen tussen pdf-bestanden vinden

Verschillende versies van een pdf vergelijken kan snel en betrouwbaar. Gebruik deze programma's om een pdf te vergelijken, die gratis zijn of weinig k...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er