Windows onderzoeken met Taakbeheer, Process Explorer en AutoRuns

Het Taakbeheer levert nuttige informatie als je wilt weten waar Windows op dat moment mee bezig is. Van sommige schermen van die tool moet je wel weten hoe je de informatie moet interpreteren. Als het Taakbeheer tekort schiet, zijn er nog veel krachtigere tools.

Je pc voelt op de een of andere manier traag aan, de harde schijf ratelt continu of de accu van je notebook is al veel te snel leeg. Er zijn veel uiteenlopende redenen waarom je zou willen weten wat Windows allemaal uitspookt. Is het systeem weer eens druk met zichzelf bezig omdat het de zoekindex aan het bijwerken is of naar updates zoekt? Of waart er malware rond die megabytes aan spam verstuurt?

Afhankelijk van hoe gedetailleerd je het antwoord op die vragen wilt hebben en hoe intensief je daar mee aan de slag wilt gaan, kun je kiezen uit verschillende diagnosetools. In Windows zelf zitten bruikbare meetinstrumenten, waarvan de geavanceerde functies niet altijd direct te vinden zijn. Als je nog dieper wilt gaan, vind je op internet massa’s gratis software die een volledige inkijk beloven – maar er zijn maar weinig tools die we echt kunnen aanraden. Ook de goede tools hebben inwerktijd nodig als je ze ten volle wilt kunnen benutten.

Voor een eerste overzicht van wat er allemaal draait, is het in Windows ingebouwde Taakbeheer het ideale gereedschap. Met de toetscombinatie Ctrl+Shift+Esc krijg je hem meteen in beeld. Sinds Windows 8 is hij flink uitgebreid. Bij de eerste keer starten komt hij in eerste instantie in beknopte vorm tevoorschijn. Je ziet alleen een lijstje met de actieve apps en programma’s. Elke regel heeft een kort snelmenu met de belangrijkste opdrachten.

Pas als je onderaan de lijst op de optie ‘Meer details’ klikt, openbaart het taakbeheer zijn volledige functieomvang. Hij toont dan informatie voor zowel software als hardwarediagnose.

Het eerste tabblad ‘Processen’ volstaat vaak al om te ontdekken waar de pc op dat moment zijn tijd mee verdoet. De algemene belasting van de processor, het geheugen, de schijf en de netwerkaansluiting staan in de kolomkoppen boven de betreffende lopende processen. Met een klik op een kolomkop – zoals bij alle overzichtstabellen in het taakbeheer – sorteer je de processen op basis van dat criterium. Het programma dat op dat moment bijvoorbeeld de meeste schijfactiviteit genereert komt dan helemaal bovenaan te staan. Net als bij alle tabellen in het taakbeheer kun je door met rechts op een kolomkop te klikken nog meer kolommen met details toevoegen of juist weghalen. Standaard staan alle soorten processen door elkaar, maar met de menuoptie ‘Beeld / Op type groeperen’ kun je je sorteren op type.

De kolom ‘Status’ is een beetje eigenzinnig. Standaard zijn alle cellen in de kolom leeg. Pas wanneer je de menu optie ‘Beeld / Statuswaarden / Onderbroken status weergeven’ activeert, verschijnt bij niet-actieve apps de waarde ‘Onderbroken’.

Als je de belasting van verschillende bronnen op een tijdlijn wilt bekijken, klik je op het tabblad ‘Prestaties’. Voor iedere bron, processor, geheugen, schijf en netwerk staat daar een curve die laat zien hoe sterk het systeem en de toepassingen het betreffende onderdeel de laatste minuten belast hebben. Met een klik op de items aan de linkerkant krijgt je rechts een vergrote weergave van de betreffende bron met onder de grafiek extra informatie.

Heb je de processorbelasting geselecteerd, dan kun je de grafiek met een rechter muisklik (via het snelmenu) omschakelen van een cumulatief overzicht naar een aparte weergave van iedere logische processorkern. Dat levert verder niet veel extra informatie op. Een single-thread toepassing die voor een volledige belasting zorgt, die verraadt zich maar zelden door een enkele kern die voor honderd procent belast is.

Om te zien of een proces een processorkern volledig belast, bijvoorbeeld omdat een bug hem in een eindeloze lus heeft doen belanden, moet je de totale belasting van de processor in het oog houden. Komt die bijvoorbeeld op een quadcore met hyper-threading langere tijd niet onder de 12,5 procent, dan mag je ervan uit gaan dat een proces een kern volledig belast.

Bij het analyseren van een performanceprobleem zijn de tabbladen ‘Appgeschiedenis’ en ‘Gebruikers’ meestal van minder belang. Het tabblad ‘Opstarten’ is dan een stuk interessanter. Daarop staat wellicht een antwoord op de vraag waarom een bepaald programma op dat moment überhaupt draait. Bovendien geeft het taakbeheer een inschatting in hoeverre de herkende automatisch startende programma’s het opstarten van Windows vertragen. De grootste vertragers kun je via het snelmenu ter plaatse uitschakelen. Aan de andere kant analyseert het taakbeheer bij lange na niet alle mechanismen in het bestandssysteem en het register waarmee Windows programma’s, services en drivers bij de systeemstart inlaadt. Een grondiger tool komt hieronder nog aan de orde.

Het Taakbeheer van Windows heeft er sinds Windows 8 veel functies bijgekregen. Die zie je echter pas na een klik op ‘Meer details’.

Het Taakbeheer levert de uitvoerigste details op het tabblad ‘Details’. Vooral de optie ‘Kolommen selecteren’ in het snelmenu van de kolomkoppen is het vermelden waard. Daarmee kun je onder andere snel ontdekken of een bepaald programma 32- of 64-bits is (kolom ‘Platform’) en of het met administratorrechten draait (‘Verhoogd’). Desondanks geldt ook voor het tabblad ‘Details’ dat als je werkelijk alles over een lopend proces wilt weten, je beter een krachtigere tool kunt gebruiken – daarover straks meer.

Ook het tabblad Services dient meer voor een snel overzicht dan voor een uitvoerige configuratie en diagnose. Je kunt de afzonderlijke services via hun snelmenu hier in elk geval wel starten of stoppen. Met ‘Services openen’ laadt de betreffende snap-in van het computerbeheer voor het configureren van de service. Om een bepaalde service daar terug te vinden, moet je rekening houden met het verschijnsel dat wat het computerbeheer ‘Naam’ noemt in het taakbeheer ‘Beschrijving’ heet, en dat de ‘Naam’ in het taakbeheer bij de serviceconfiguratie alleen op de eigenschappenpagina als ‘Servicenaam’ opduikt.

Met Broncontrole kun je de activiteiten van afzonderlijke programma’s doorlichten. Op basis van de grafieken kun je wel verkeerde conclusies trekken.

De tweede belangrijke tool voor performancediagnose in de gereedschapskist van Windows is de Broncontrole. Die heeft vooral voordelen ten opzichte van het Taakbeheer als je de activiteiten van afzonderlijke processen nauwkeuriger wilt onderzoeken. Je kunt de Broncontrole het makkelijkst starten via een aparte link onderaan het tabblad Prestaties van het Taakbeheer. Je kunt hem ook starten door ‘resmon’ in het venster ‘Uitvoeren’ in te typen (Win+R).

Een pas net geopend Broncontrolevenster heeft aan de rechterkant vier grafieken waarvan de bedoeling niet meteen duidelijk is. Voor allemaal geldt dat ze de systeemactiviteiten van de laatste 60 seconden weergeven en daarbij twee curven gebruiken, een groen vlak en een blauwe lijn. Voor de processorbelasting is de groene curve het belangrijkste, die laat de processorbelasting in procenten zien. De blauwe lijn gaat omhoog naarmate de processor langer op volle kloksnelheid draait. Omgekeerd betekent een lage waarde dat de processor energie heeft kunnen besparen door de kloksnelheid te verlagen.

Het meest verwarrende zijn waarschijnlijk de grafieken voor het dataverkeer met de schijven en het netwerk. Als alles groen is, betekent dat nog lang geen volledige belasting omdat het groene vlak telkens automatisch zodanig schaalt dat de pieken niet al te ver naar boven uitsteken. De huidige schaal staat rechts boven de grafiek. Staat bij de schijven daar bijvoorbeeld ‘100 kB/s’, dan doet de schijf vrijwel niets – zelfs als de groene curve zich bovenin beweegt. De blauwe curve zegt meer, die geeft de procentuele belasting aan. Bij de netwerkbelasting heb je juist weer niet zoveel aan die procentuele belasting. Heb je in je eigen netwerk een Gigabitverbinding, dan gebruikt de bronmonitor 1000 Mbit/s als 100 procent. Is je internetverbinding maar 20 Mbit/s, dan valt een proces dat die gehele bandbreedte gebruikt, helemaal niet op.

Bij het geheugen geeft de blauwe lijn de procentuele bezetting van het RAM weer, het groene vlak de – geschaalde – ‘paginafouten’ (sinds Windows 10 1607: ‘harde fouten’) per seconde. Ondanks die naam is een waarde boven nul nog geen reden tot bezorgdheid. Een paginafout – ‘page fault’ – treedt altijd op wanneer een proces probeert een adres in het virtuele geheugen te benaderen waaraan op dat moment geen fysiek RAM toegewezen is. Dat gebeurt wanneer Windows dat geheugengebied naar de schijf geswapt heeft of wanneer een proces voor de eerste keer een adresgebied in de programmacode benadert. Dan moet Windows dat geheugengebied eerst vanuit de swapfile of vanuit een exe- of dll-bestand van de harde schijf vullen.

Dat gebeurt altijd per volledige geheugenpagina met een grootte van normaal gesproken 4 kB. Wanneer je een groter programma laadt, is een groot aantal paginafouten volstrekt normaal. Als je daar voortdurend een groene lijn ziet, zit er waarschijnlijk te weinig RAM in je computer voor de gevraagde bezigheden. Je kunt je dan afvragen of je niet toch meer geheugen in je computer moet stoppen of minder programma’s tegelijk moet laten draaien.

De lijsten in het linkerdeel van de Broncontrole tonen de data van de grafieken per proces. De metingen voor de schijf- en netwerkbenaderingen gaan zelfs nog een stap verder en laten de benaderingen van de afzonderlijke bestanden en netwerkadressen op aparte regels zien. Zie je voortdurende lees- en schrijfbenaderingen van het swap-bestand C:pagefile.sys, dan is dat een extra aanwijzing voor een overbelasting van het werkgeheugen. Alle gegevens zijn anders te sorteren door op de kolomkoppen te klikken. De snelmenu’s van de kolomkoppen bevatten opties voor het verbergen en toevoegen van kolommen.

Met de knoppen voor items van de proceslijst bij ‘Processor’ kun je de regels van de andere tabellen filteren, zodat daar alleen nog de gegevens van de geselecteerde processen te zien zijn. Bij de overzichtsgrafieken komt er dan een oranje lijn bij die het aandeel van het geselecteerde proces in het groene vlak weergeeft.

Het filter blijft ook actief als je naar een van de andere tabbladen van de Broncontrole gaat om andere details te bekijken. Het tabblad ‘Processor’ is interessant. De informatie daar is handig bij het zoeken naar services die veel processortijd verbruiken. Als in het overzicht blijkt dat svchost. exe de veroorzaker is van onverklaarbare systeemactiviteiten, dan kun je daar in eerste instantie echter niet veel mee. Iedere instantie van dat programma herbergt in de regel meerdere services. Om te zien welke daarvan aan het doordraaien is, klap je bij de Broncontrole de lijst van Services open en sorteer je ze op de kolom Processor. Net als bij het Taakbeheer toont de kolom ‘Beschrijving’ de namen waaronder je de services in het computerbeheer kunt terugvinden.

Wanneer je er met de diagnosetools van Windows zelf niet uitkomt, heb je externe tools nodig. Daar komt allereerst de Sysinternals Suite voor in aanmerking. De tools uit die omvangrijke verzameling zijn gratis te downloaden, afzonderlijk of allemaal in een keer (zie de link onderaan dit artikel). Ze werken zonder dat je ze hoeft te installeren.

Een van de populairste tools uit die verzameling is de Process Explorer. Zijn bijnaam is de ‘Task Manager on steroids’. Dat doet maar deels recht aan zijn functieomvang, want hij is onder meer ook geschikt voor het opsporen van malware. Hij helpt ontwikkelaars bij het debuggen.

Laat je niet afschrikken: de hoeveelheid details die Process Explorer laat zien kan overweldigend zijn, maar dat kun je filteren.

Bij de eerste keer opstarten moet je met de licentievoorwaarden van Process Explorer akkoord gaan. Daarna krijg je een in eerste instantie behoorlijk angstaanjagende bonte lijst van lopende processen te zien. De schijnbare chaos komt door het feit dat Process Explorer de actieve processen in een boomstructuur weergeeft. Hierbij is de ‘parent’ van een proces altijd het proces dat de ‘child’ gestart heeft. Top-level entry’s representeren processen die het systeem bij het opstarten geladen heeft of processen waarvan de ‘parent’ niet meer draait. Met een klik op de kolomkoppen kun je de lijst zonder inspringingen sorteren op ieder weergegeven kenmerk. Door meerdere keren op de kop Process te klikken, krijg je de structuurweergave terug.

De weergegeven kenmerken zijn via de optie ‘Select Columns’ in het snelmenu van de kolomkoppen of het menu View naar eigen wens aan te passen. Je hebt de keuze uit 117 waarden – te veel om allemaal tegelijk in de gaten te houden. Maar dat hoeft ook niet. Process Explorer kan via opties in het menu View tot tien ‘Column sets’ opslaan en opnieuw laden. Je kunt de weergegeven kolommen dan ook net zo inrichten als op dat moment handig is. En je kunt de set vervolgens onder een naam opslaan. Met enkele muisklikken of de sneltoetsen Ctrl+1 tot en met Ctrl+0 kun je die configuraties op elk moment weer oproepen.

De configuraties slaan niet alleen de kolommen op die in de proceslijst worden weergegeven, maar ook de kolommen die de tabel in het onderste vensterdeel laat zien. Dat deel kun je aan- en uitzetten via ‘View / Show Lower Pane’ of met de toetsencombinatie Ctrl+L. Er zijn twee weergaven. Bij de eerste, die je krijgt met Ctrl+D, krijg je alle dll’s te zien die het geselecteerde proces geladen heeft. De tweede (Ctrl+H) geeft een overzicht van alle handles van het actuele proces, dus de geopende bestanden, registersleutels, synchronisatieobjecten enzovoorts.

Met de menuoptie ‘Find / Find Handle or DLL’ (Ctrl+F) kun je ook in het algemeen over alle processen naar geopende objecten zoeken. En je kunt die vervolgens met ‘Close Handle’ in het snelmenu uit hun parent-proces verwijderen. Let wel op, daardoor kan het betreffende programma in bepaalde gevallen crashen. Toch kan die optie nuttig zijn als laatste redmiddel. Bijvoorbeeld als een bestand absoluut niet te verwijderen is omdat een proces het continu in gebruik heeft.

Ervaren gebruikers van Process Explorer hebben dan ook een aantal column-sets, waaronder een die helpt om malware op te sporen. Behalve de standaard weergegeven kolommen heeft die set minstens ook de attributen ‘Company Name’, ‘Verified Signer’ en ‘VirusTotal’. De betreffende opties zitten op de tabbladen ‘Process Image’ en ‘DLL’ van het dialoogvenster ‘Select Columns’ uit het menu ‘View’.

Om ervoor te zorgen dat de kolom ‘Verified Signer’ niet leeg blijft, moet in het Options-menu de optie ‘Verify Image Signatures’ geactiveerd zijn. Vervolgens verschijnt bij ieder proces een opgave wie het betreffende uitvoerbare bestand digitaal ondertekend heeft. Niet-ondertekende bestanden of die waarbij een foutmelding optreedt, zijn niet per se een veiligheidsrisico. Maar een gezond wantrouwen is wel op zijn plaats als een niet-ondertekend bestand in de kolom ‘Company Name’ beweert van een grote fabrikant als Microsoft, Intel of Nvidia afkomstig te zijn. Of wanneer ‘Company Name’ en ‘Verified Signer’ niet met elkaar overeenkomen.

Om iets in de kolom ‘VirusTotal’ te krijgen, moet je bij het Options-menu onder ‘VirusTotal.com’ de optie ‘Check VirusTotal. com’ activeren. Als je een vaste internetverbinding zonder datalimiet hebt, moet je ook ‘Submit Unknown Executables’ activeren. Dat zorgt ervoor dat Process Explorer het uitvoerbare bestand van ieder draaiend proces door de online-dienst VirusTotal.com laat controleren. Daar zoeken meer dan vijftig verschillende virusscanners in de geüploade bestanden naar sporen van virussen. Het scanresultaat in de kolom linkt naar de website met een SHA256-hash van het bestand. Process Explorer gebruikt die door in eerste instantie alleen de hashes van exe- en dll-bestanden naar VirusTotal.com te sturen. Pas wanneer daar een ‘Unknown’ uitkomt, stuurt hij het hele bestand op om te laten scannen.

Het resultaat in de kolom ‘VirusTotal. com’ is in het ideale geval bij alle processen ‘0/n’ waarbij n een waarde heeft tussen vijftig en zestig. Kleine getallen wijzen  meestal op false positives van enkele van de gebruikte scanners. Als je het preciezer wilt weten, klik je op het resultaat in Process Explorer. Daarmee opent de pagina van VirusTotal met de uitvoerige resultaten in je browser.

Heb je een of zelfs meerdere processen als malware geïdentificeerd, dan is het meteen slim om ze via de menuoptie ‘Process / Kill Process’ af te schieten. Het beste is om ze met de menuoptie ‘Process / Suspend’ eerst te pauzeren. Veel malware wapent zich namelijk tegen het afsluiten door meerdere processen te starten die elkaar meteen opnieuw laden zodra er een verdwijnt. Een slapend proces is moeilijker te herkennen en kan zijn kompanen niet meer beschermen.

Een gepauzeerd proces kan net zo weinig onheil aanrichten als een proces dat gestopt is. Het zit echter nog wel in het geheugen. Zodat je via zijn eigenschappen in alle rust kunt proberen informatie te verzamelen. Om daarmee de wijze van infectie en mogelijke bijwerkingen te identificeren. Bijzonder interessant zijn onder meer de velden ‘Autostart Location’ en ‘Parent’ op het tabblad ‘Image’ en het tabblad ‘Strings’ van het Eigenschappen-venster. Bij het verzamelen van nog meer aanwijzingen kan ook de optie ‘Process / Search Online’ helpen. Die opent je standaardbrowser en stuurt een kant-en-klare vraag naar de zoekmachine.

Je kunt een besmet exe-bestand niet verwijderen zolang het nog als proces geopend is. Process Explorer is echter geen vervanging voor een extern antivirusprogramma met een grondige analyse en reiniging van het systeem via een apart bootmedium.

Een andere populaire tool uit de Sysinternals Suite is Autoruns. Voor performanceanalyse is deze tool van indirect belang. Maar hij kan toch waardevolle hulp bieden wanneer het erom gaat te ontdekken wat er allemaal in het systeem draait. En vooral waarom. Autoruns loopt alle bekende plekken in het register en het bestandssysteem af die ervoor verantwoordelijk zijn dat programma’s automatisch gestart worden. Dat kan zijn bij het starten van het systeem, bij het inloggen en bij enkele andere gelegenheden .

Net als Process Explorer biedt het programma Autoruns functies die nuttig zijn voor het opsporen van virussen en andere malware.

Het programma presenteert zich net zo gekleurd en op het eerste gezicht net zo onoverzichtelijk als Process Explorer. De interne logica wordt echter snel duidelijk. De lichtblauwe regels vertegenwoordigen de registersleutels en bestandsmappen waarin de tool naar autostart-programma’s zoekt. Daaronder laat hij de daar gevonden items zien. De items waarbij iets met de ondertekening van het bijbehorende programmabestand niet klopt zijn lichtrood gemarkeerd. Gele regels gaan over items die naar een niet bestaand bestand verwijzen.

Je kunt de lijst op verschillende manieren filteren. Dat gaat het makkelijkst met de tabbladen aan de bovenkant van het venster, die de items in categorieën opdelen. De belangrijkste zijn Logon en Services. Via het Options-menu kun je alle items verbergen waarvan het programma van Microsoft afkomstig is of alleen degenen die van huis uit bij Windows horen. Daar moet je zonder goede reden sowieso niet mee spelen. Anders brengt je de stabiliteit van het systeem in gevaar.

De menuoptie ‘Options / Scan Options’ biedt switches voor functies die lijken op die van Process Explorer voor de malwarecontrole. Autoruns kan de digitale handtekeningen van de automatisch gestarte programma’s controleren en ze door VirusTotal.com op virussen laten checken.

De optie ‘File / Analyse Offline System’ en de opties in het User-menu zijn ook tegen malware bedoeld. Daar kun je de autostarts van een niet draaiend, parallel geïnstalleerde Windows-versie of van een ander gebruikersaccount mee analyseren. Daarmee kun je de beschermingsmechanismen die veel malware gebruiken om bij een draaiend systeem te verbergen door wie of wat ze gestart worden, effectief mee omzeilen.

Om het automatisch starten van een programma of service te verhinderen, klik je bij Autoruns gewoon het vinkje voor de betreffende regel weg. Daarmee verwijder je hem niet meteen, maar schakel je hem in eerste instantie alleen uit. Wanneer je na de volgende reboot ontdekt dat daardoor een belangrijke functie buiten gebruik gesteld is, kun je het automatisch starten ervan op dezelfde plaats weer activeren.

Als je iets handmatig in het register of in het bestandssysteem wilt aanpassen, dan staat in het snelmenu van de Autorunsregels de optie ‘Jump to Entry’. Die opent de Verkenner of de Register-editor op de plaats waar de betreffende autostart geconfigureerd is. ‘Jump to Image’ opent de map met het uitvoerbare bestand in de Verkenner. Wanneer behalve Autoruns ook Process Explorer geïnstalleerd is, kun je die laatste via het gelijknamige item in het snelmenu oproepen en daar de eigenschappen van het lopende proces mee bekijken.