Windows systeem controleren met Process Explorer

Je Windows systeem controleren als het bijvoorbeeld traag werkt, of onderzoeken wat er allemaal draait, kan met Windows’ eigen tool Taakbeheer. Maar als die tegen zijn grenzen aanloopt, begint de Process Explorer van Microsofts Sysinternals pas warm te draaien. Er is maar weinig informatie over het systeem en de daarop draaiende processen die voor Process Explorer verborgen kan blijven. Ontdek hoe je het gebruikt.

Eigenlijk heeft Windows met Taakbeheer al een tool in het assortiment waarmee je redelijk makkelijk de actuele belasting van de processor of het werkgeheugen kunt achterhalen. Je kunt er ook een overzicht mee krijgen van alle draaiende programma’s. De getoonde informatie blijft echter redelijk oppervlakkig: als je bijvoorbeeld wilt weten welke DLL’s een programma geladen heeft, blijf je bij Taakbeheer in het duister tasten. Ook op de vraag waarom een programma überhaupt draait, krijg je van Taakbeheer weinig antwoord.

Al die informatie – en nog een heleboel meer – wordt geleverd door een programma met de naam Process ­Explorer. Die tool is via de website van Microsoft gratis te downloaden. Waarom zit Process Explorer dan niet meteen in Windows zelf? Mogelijk omdat het een erg krachtige tool is, die voor minder ervaren gebruikers aardig wat overkill zou kunnen zijn. Bij onvoorzichtig gebruik kan er zelfs schade aan het systeem worden toegebracht en dat kan tot dataverlies leiden. Microsoft biedt voor het gebruik van Process Explorer dan ook geen enkele support en wijst erop dat het gebruik geheel op eigen risico is.

(Illustratie: Rudolf A. Blaha)

Als dat je allemaal niet afschrikt, zijn er verschillende manieren om aan Process Explorer komen. Je kunt het afzonderlijk downloaden of – en dat is aan te raden – als onderdeel van de Sysinternals Suite samen met talrijke andere systeem- en diagnosetools als zipbestand binnenhengelen. Die programma’s hoeven niet echt geïnstalleerd te worden, het volstaat om het zipbestand in een map uit te pakken.

Normaliter waarschuwt Windows er bij elke programmastart voor dat een van internet afkomstig programma een mogelijk gevaar is. Daarom is het aan te raden om voor het uitpakken van het zipbestand naar de eigenschappen ervan te kijken met Verkenner en onderaan op het tabblad Algemeen de optie ‘Blokkering opheffen’ aan te vinken bij ‘Dit bestand is afkomstig van een andere computer en wordt mogelijk geblokkeerd om deze computer beter te beveiligen’. Als je die optie niet ziet, is het archief volgens Windows niet van internet afkomstig en heb je daar verder geen problemen mee.

Omdat het bij de Sysinternals-tools ten dele om zeer krachtige tools gaat, is het aan te raden om ze op de harde schijf in een map te zetten die beveiligd is tegen het overschrijven van de erin opgeslagen bestanden. Het is bijvoorbeeld mogelijk om in ‘C:\Program Files’ een nieuwe map met de naam Sysinternals te maken. Om die aan te maken en daar de bestanden in te zetten, heb je administratorrechten nodig. Met Verkenner krijg je die niet. Je kunt beter een extern archiefprogramma gebruiken, zoals het gratis 7-Zip en dat via het snelmenu met administratorrechten starten. Je kunt ook het archief met Verkenner eerst in een tijdelijke map uitpakken en dan via een met administratorrechten gestarte Opdrachtprompt of Powershell kopiëren naar de map in ‘Program Files’.

Het is voor Process Explorer niet per se nodig, maar voor sommige Sysinternals-tools is het wel handig om de Sysinternals-map op te nemen in de omgevingsvariabele PATH. Bij de bijbehorende instellingsdialoog kom je met de toetsencombinatie Windows+­Pause. Klik daar op de ‘Geavanceerde systeem­instellingen’ en vervolgens op Omgevingsvariabelen.

Via Windows Verkenner kun je Process Explorer benaderen zonder installatie vooraf.

Een andere manier om Process Explorer te gebruiken is bijzonder handig als je op een vreemde computer zit waar je niets op wilt installeren. Dan kun je op de adresbalk van Verkenner (en dus niet op de adresbalk van een browser) het UNC-pad \\live.sysinternals.com intypen en Process Explorer starten door op het bestand procexp.exe te dubbelklikken.

Een nadeel van die manier is dat het programma dan iedere keer dat je het gebruikt gedownload wordt, waarbij het in een tijdelijke map terechtkomt. Aan de andere kant kun je er dan zeker van zijn dat je altijd met de nieuwste versie van het programma werkt. Net als alle Sysinternals-tools vraagt Process Explorer de eerste keer dat je het start om de licentievoorwaarden te accepteren. Met de commandline-optie /accepteula kun je die stap overslaan.

Als Process Explorer bij alle eigenschappen van alle draaiende processen moet kunnen komen, moet het met administratorrechten werken. Net als bij alle programma’s kun je het via het snelmenu van het exe-­bestand starten op die manier of er een snelkoppeling van ­maken. Als je een keer vergeet om het programma met administratorrechten te starten, kun je met het ­menu-item ‘File / Show Details for All Processes’ van Process Explorer de tool herstarten met volledige rechten.

Om je die stappen te besparen, is het aan te raden voor het starten van Process Explorer een snelkoppeling te maken op het bureaublad, in het startmenu of op een andere goed bereikbare plek. Activeer bij de Eigenschappen van de snelkoppeling op het tabblad Compatibiliteit de optie ‘Dit programma als Administrator uitvoeren’. Een alternatieve methode is om bij de Eigenschappen van de snelkoppeling op het tabblad Snelkoppeling de inhoud van Doel aan te passen. Voeg in dit invoerveld de commandline-optie /e toe. Dan start de tool met volledige rechten (elevated).

Als je Process Explorer start, vallen twee dingen meteen op. De lijst met processen is erg bont gekleurd en is geen platte opsomming, maar heeft een bepaalde boomstructuurachtige hiërarchie. Afhankelijk van welke informatie je op dat moment zoekt, kunnen beide handig zijn of storend werken. De kleuren zijn via de menu-­optie ‘Options / Configure Colors’ in te stellen.

De bont gekleurde procesboom van Process Explorer lijkt op het eerste oog verwarrend. De omvang en weergave van de aangeboden informatie is echter te configureren.

Als je op een bepaald moment niet op zoek bent naar bepaalde diensten of gericht op UWP-apps zoekt, kun je bijvoorbeeld het vinkje voor Services verwijderen – en dat ook bij ‘Immersive Process’ – om een wat minder druk overzicht te krijgen. De waarde van die laatste optie is sowieso twijfelachtig omdat daarmee ook het programma Verkenner benadrukt wordt, wat toch een klassiek Win32-programma is. Met ‘New Objects’ en ‘Deleted Object’ worden net gestarte en beëindigde processen gehighlight . Dat geldt ook voor net geladen en verwijderde DLL’s en geopende en gesloten bestanden, waarover later meer. Hoe lang dat highlighten moet duren, kun je instellen bij ‘Options / Difference Highlight Duration’. Een bruikbare waarde is vijf seconden.

Een andere aanrader qua basisinstellingen is het inschakelen van ‘Options / Allow Only One Instance’, zodat meerdere per ongeluk gestarte sessies van het programma het systeem niet afremmen. Of je ‘Options / Replace Task Manager’ moet inschakelen, is een kwestie van persoonlijke voorkeur. Daarmee zorg je ervoor dat de toetsencombinatie Ctrl+Shift+Esc en de link Taakbeheer op de Ctrl+Alt+Del-pagina niet meer het Taakbeheer van Windows starten, maar Process Explorer.

De inspringingen bij de lijst van procesnamen geven aan welke processen door welke andere gestart werden. Voor het zoeken naar een bepaald proces is echter een simpele alfabetisch geordende lijst meestal beter geschikt. Die krijg je door op de kolomnaam Process te klikken. Als je daar nog een keer op klikt, draait de sorteer­volgorde om, en bij nog een keer klikken krijg je de originele boomstructuur weer te zien.

Dat je voor het sorteren van de lijst volgens een bepaald kenmerk op de bijbehorende kolomnaam kunt klikken, geldt voor alle kolommen. Ook daar draait de sorteervolgorde om als je er nog een keer op klikt en kom je daarna weer bij de boomstructuur uit, ongeacht waar eerder op gesorteerd was.

Proces-eigenschappen

Een dubbelklik op een item in de proceslijst opent een dialoog met een overweldigend aantal eigenschappen van het proces, die min of meer overzichtelijk over meerdere tabbladen verdeeld staan. De performance-­gerelateerde eigenschappen worden regelmatig bijgewerkt. Wat je op het eerste oog waarschijnlijk niet meteen ziet is dat het venster van grootte te veranderen is. Daarnaast is het een losstaand venster, zodat je het eigenschappenvenster open kunt laten staan en naar het hoofdvenster terug kunt om daar bijvoorbeeld de eigenschappen van een ander proces te openen. Zo zet je makkelijk beide vensters naast elkaar om ze te kunnen vergelijken.

Het detailniveau van de informatie over de afzonderlijke processen is indrukwekkend.

Om bepaalde eigenschappen van alle processen gemeenschappelijk in het oog te kunnen houden, is het mogelijk om aan de proceslijst kolommen met die eigenschappen toe te voegen. Het daarvoor verantwoordelijke menu-item ‘Select Columns’ zit in het View-­menu, maar je kunt ook met de rechter muisknop op de kolomkoppen klikken. Ook hier kun je weer kiezen uit veel mogelijkheden, maar simpelweg alle ter beschikking staande kolommen laten zien is er niet bij. In plaats daarvan heeft Process Explorer zogeheten ‘Column Sets’. Daarmee kun je combinaties van kolommen opslaan en later weer eenvoudig herstellen.

Kolomsets en detailinformatie

Je kunt bijvoorbeeld een column-set maken die de informatie toont die belangrijk is bij het zoeken naar cpu- of geheugenverkwisters, en een andere voor het opsporen van malware en zo verder. De daarvoor benodigde commando’s staan in het View-menu. De volgorde van de kolommen is overigens ook aan te passen. Klik met de muis op een kolomkop en sleep hem naar de gewenste positie.

De volgorde van de kolommen en de breedte van de kolommen worden ook in een column-set bewaard. Hetzelfde geldt voor de kolommen die Process Explorer in zijn ‘Lower Pane’ laat zien. Dat verschijnt in de onderste helft van het programmavenster. Als het zichtbaar is, toont het van het bovenin geselecteerde proces de ge­laden DLL’s of de geopende handles – oftewel bestanden, mappen, registersleutels en dergelijke. Je kunt hiertussen switchen of het helemaal verbergen met de toetsencombinatie Ctrl+L (Lower Pane aan/uit), Ctrl+D (DLL’s weergeven) en Ctrl+H (handles tonen). Er staan ook drie knoppen voor op de werkbalk.

Welke kolommen hier getoond worden, is te configureren op de tabbladen Handle en DLL van de ‘Select Columns’-dialoog. Een dubbelklik op een DLL of een handle opent een venster met meer informatie over dat object.

DLL’s en handles zijn niet alleen procesgewijs weer te geven, maar zijn ook globaal te doorzoeken. Bij de dialoog achter het menu-item ‘Find / Find Handle or DLL’ kun je bijvoorbeeld de naam van een bestand of een DLL – ook een deel van de naam is al voldoende – intypen en op Search klikken. Dan vult de onderste lijst zich met de namen van alle processen die met een bijpassend object werken. Een klik op een resultaat markeert in het hoofdvenster het bijbehorende proces of opent indien nodig de Lower Pane en markeert het gevonden object.

Niet-verwijderbaar bestand

Die manier van werken is erg praktisch, bijvoorbeeld als een bestand in Verkenner niet te verwijderen is en de foutmelding aangeeft dat het bestand in gebruik is. Dan kun je door te zoeken in Process Explorer eerst vaststellen welke processen dat bestand in gebruik hebben. Vervolgens kun je beslissen hoe je verder wilt gaan: wellicht heb je een aha-ervaring en kun je het bestand beter niet verwijderen.

Het is misschien ook zinvol om het gevonden programma op een normale manier af te sluiten of met behulp van Process Explorer: dat laatste doe je met het commando ‘Kill Proces’ in het snelmenu van het proces. De laatste mogelijkheid is om via het snelmenu van het zoekresultaat, het commando ‘Close Handle’ te kiezen. Daarmee wordt de toegang van het betreffende proces verbroken. Let wel op: zowel het ongecontroleerde beëindigen van een proces als het gewelddadig sluiten van een handle kan tot dataverlies leiden. Beide acties moet je alleen in noodgevallen uitvoeren.

Vastgelopen programma

Een dergelijk noodgeval kan onder meer zijn dat een Windows-applicatie blijft hangen en nergens meer op reageert, en het venster ook niet meer te sluiten is door op het kruisje rechtsboven te klikken. Welk proces bij dat venster hoort, kun je het makkelijkst achterhalen met het draadkruis-pictogram rechts op de pictogrambalk van Process Explorer. Daar moet je niet op klikken, maar het met ingedrukte muisknop verslepen. Process Explorer verdwijnt dan naar de achtergrond en je kunt het draadkruis dan boven een willekeurig venster loslaten. Process Explorer verschijnt dan weer en heeft in de lijst dan het proces dat bij het venster hoort geselecteerd.

Het draadkruis kan soms ook handig zijn om een meervoudig parallel uitgevoerd programma te identificeren. Helaas helpt dat niet om een voor een bepaald browservenster of -tabblad verantwoordelijk proces te vinden. De meeste browsers zitten zo in elkaar dat ze voor elk venster en elk tabblad wel een eigen ­proces ­starten. Maar die processen verrichten alleen werk binnen een website, bijvoorbeeld voor het weergeven van teksten en afbeeldingen en het uitvoeren van Java­Script-code. Het daadwerkelijke afhandelen van de vensters in de Windows-betekenis vindt daarentegen plaats in een gemeenschappelijk proces. Bij Firefox en Chrome-­derivaten is dat de vader van alle andere processen, bij Edge is dat een proces met de naam MicrosoftEdge.exe. Daar worden de afzonderlijke vensters gecontroleerd door instanties van MicrosoftEdgeCP.exe.

Er is een taak waarbij het Windows-eigen Taakbeheer beter is dan Process Explorer, namelijk het zoeken naar het bij een draaiende systeemdienst behorende proces. Als je dus bijvoorbeeld wilt weten wat de Update-dienst van Windows op een bepaald moment aan het doen is, dan kun je het beste het Taakbeheer starten en dan op het tabblad Services zoeken naar de PID die hoort bij de dienst met de beschrijving ‘Windows Update’.

De lijst in Process Explorer kun je vervolgens sorteren op de PID’s en dan de gezochte instantie van svchost.exe redelijk snel vinden. Op andere momenten is Process Explorer weer makkelijker om te gebruiken: welke diensten door een svchost-instantie afgehandeld worden, zie je al meteen als je de muis even boven de procesnaam laat hangen. Bij de eigenschappen vind je dan bovendien het tabblad Services met een paar details over de dienst.

Een van de waarschijnlijk meest voorkomende scenario’s voor het gebruik Process Explorer is het opsporen van oorzaken waarom de computer weer eens zo traag reageert op invoer of het activiteit-ledje van de harde schijf of de ssd maar de hele tijd blijft branden. Het daarvoor verantwoordelijke proces is dan meestal snel gevonden: eenvoudigweg de bijpassende kolom laten zien en de proceslijst daarop sorteren.

Processen die veel tijd van de processor verbruiken vallen op door een hoge waarde bij ‘CPU Usage’ (tabblad ‘Process Performance’ bij de kolomselectie), processen die de schijf volop laten werken door een hoge ‘Delta Total Bytes’ (categorie ‘Process Disk’) en grote geheugenvreters kenmerken zich door een hoge waarde in de kolom ‘Working Set Size’ (categorie ‘Process Memory’).

Bij het zoeken naar fouten in zelfgeschreven programma’s of als je de ontwikkelaars van een applicatie wilt helpen, kan het bovendien handig zijn om de cpu-belasting van een proces te ontrafelen in de verschillende threads. Die lijst staat op het gelijknamige tabblad bij de proceseigenschappen. De lijst wordt nog handiger als je Process Explorer toestaat om de debugger-symbolen van de Windows-eigen DLL’s weer te geven. Daar moet je eerst wel de Debugging Tools for Windows van Microsoft voor installeren. Die zijn niet beschikbaar als een zelfstandige download, maar alleen in de vorm van de Windows-SDK-installer. Je kunt bij het installeren echter alle andere componenten uitschakelen.

Bij Process Explorer roep je vervolgens het menu-item ‘Options / Confige Symbols’ aan. Daar zet je bij ‘Dbghelp.dll’ het pad naar die DLL uit de SDK, wat bij een 64-bit systeem normaal gesproken ‘C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\dbghelp.dll’ is. In het veld ‘Symbol path’ moet iets staan in de vorm van ‘srv*D:\Symbols*http://msdl.microsoft.com/download/symbols’. De lokale map (in het voorbeeld D:\Symbols) moet bestaan en moet zich op een dataschijf met genoeg vrije ruimte bevinden. Daar slaat Process Explorer de door Microsofts Symbol-server gedownloade data op, wat al snel meerdere MB’s groot kan worden.

Een andere taak waarbij Process Explorer een waardevolle tool kan zijn, is het zoeken naar virussen, backdoors en vergelijkbare onraad. Voor dat doel moet je eerst de kolom ‘Verified Signer’ tevoorschijn toveren (bij de ‘Select Columns’-dialoog kun je die vinden op het tabblad ‘Process Image’). Om het overzicht te houden kun je die het beste naast de kolom ‘Company Name’ zetten. Om waarden in die kolommen te krijgen, moet de menu-optie ‘Options / Verify Images Signatures’ wel ingeschakeld zijn.

Om alle draaiende processen waar het exe-bestand geen geldige signatuur van heeft als gevaarlijk te oormerken, is dan wat te kort door de bocht. Maar je moet wel wantrouwig worden als er in het veld ‘Company Name’ de naam van een bekende softwareproducent als Microsoft, Apple of Google staat en er geen, een ongeldige of een op een andere bedrijfsnaam uitgegeven certificaat is. Maar ook daar zijn er weer uitzonderingen op: UWP-apps zoals de in Windows zittende apps voor Weer, Berichten en Kaarten hebben in principe geen certificaat – in ieder geval niet een dat Process Explorer kan interpreteren. De integriteit van uitvoerbare bestanden wordt door Windows bij het starten van de betreffende apps op andere manieren gecontroleerd.

VirusTotal integratie

Een andere manier om het potentiële gevaar van programmabestanden in te schatten, is ze door een of meerdere virusscanners te laten controleren. Dat maakt Process Explorer heel makkelijk, het programma heeft namelijk een interface naar Googles viruswebsite ­VirusTotal, waar je verdachte bestanden door meer dan 60 antivirusprogramma’s kunt laten testen. Om die feature te gebruiken, moet je eerst ‘Options / VirusTotal.com / Check VirusTotal.com’ in het menu inschakelen en bij de eerste keer bevestigen dat je de gebruiksvoorwaarden van de website accepteert. Op de tabbladen ‘Process Image’ en ‘DLL’ van de ‘Select Columns’-dialoog kun je vervolgens voor de proceslijst en de DLL-weergave bij de Lower Pane de kolom VirusTotal inschakelen.

De kolom bevat na een korte wachttijd in het ideale geval alleen waarden in de vorm van ‘0/70’, waarbij het getal achter de schuine streep licht kan variëren. Het getal voor de streep geeft aan hoeveel van de op VirusTotal.com verzamelde malware-scanners dat bestand als verdacht beschouwen. Staat daar een 1 of een 2, dan kan het om een false-positive gaan, maar bij grotere getallen moeten de alarmbellen wel gaan rinkelen. Een klik op een resultaat van VirusTotal.com opent die website in de standaardbrowser en gaat dan meteen naar de resultaten voor het betreffende bestand. Op die manier kun je meer informatie over mogelijke infecties krijgen.

Om te kijken of er achter een proces of DLL malware zit, kun je dit checken via VirusTotal.com.

Normaal gesproken stuurt Process Explorer geen complete bestanden naar VirusTotal. Er wordt meestal een hashwaarde berekend, en die wordt dan opgestuurd. De meeste bestanden zijn immers ooit al een keer eerder geüpload en gescand, waardoor de website dan alleen de al aanwezige resultaten hoeft terug te leveren. Als bij Process Explorer het woord Unknown opduikt, dan is er nog geen eerder resultaat van.

Dan kun je met een rechter muisklik op de kolom en het selecteren van ‘Submit tot VirusTotal’ het complete bestand naar die website laten sturen, waarna je na enige tijd het bijbehorende resultaat terugkrijgt. Met het menu-item ‘Options / VirusTotal.com / Submit ­Unknown Executables’ doe je dat in het vervolg automatisch, maar dat kan onder bepaalde omstandigheden tot aardig wat netwerkverkeer leiden of programmadata naar buiten brengen waarvan je werkgever liever heeft dat die binnenshuis blijven.

Gevonden malware

Bij het vinden van malware is het ­meteen afschieten van het betreffende programma met ‘Kill Process’ meestal slechts de op één na beste actie. Het is handiger om het geïnfecteerde proces eerste met het commando Suspend uit het snelmenu of het Process-menu in slaap te laten gaan. Dan kan het programma verder geen onheil meer aanrichten, maar zit het nog wel in het geheugen om verder geanalyseerd te kunnen worden.

Je kunt dan bijvoorbeeld proberen om via het veld ‘Autostart Location’ op het tabblad Image bij de eigenschappen te achterhalen waardoor het proces gestart werd. Vaak helpt het ook om de processen die zich in de boomstructuur in de buurt van het malware-proces bevinden eens nader te onderzoeken. Sommige virussen bestaan uit meerdere uitvoerbare bestanden die elkaar wederzijds starten en monitoren. Als een van de processen afgesloten wordt, start een ander proces het meteen weer opnieuw. Dergelijke mechanismen kunnen niet reageren op processen die in slaap zijn gebracht.

Process Explorer levert niet alleen informatie over afzonderlijke processen, maar ook over de toestand van het systeem in zijn geheel. Een globale indruk van de belasting van de cpu, van het geheugen en de datadragers krijg je door de kleine histogrammen naast de werkbalk. De belangrijkste waarden verschijnen daar numeriek als je de muis er overheen beweegt. Met een klik open je het venster ‘System Information’, waar meteen het tabblad met de desbetreffende detailinformatie wordt geselecteerd. Hetzelfde venster kun je openen met de toetsencombinatie Ctrl+I of het menu-item ‘View / System Information’.

De weergave van de systeembelasting is niet echt sexy, maar wel informatief.

Om de belangrijkste kenmerken voor de systeemtoestand altijd in het oog te kunnen houden, zonder het Process-Explorer-venster de hele tijd naar voren te moeten halen, kun je de tool ook de opdracht geven om een of meerdere pictogrammen op het systeemvak van de taakbalk te zetten. Daar lopen de minigrafieken dan door en kun je het verloop van de verschillende belastingen zien. De pictogrammen zijn met de submenu’s in het menu ‘Options / Tray Icons’ in en uit te schakelen.

Normaal gesproken optimaliseert Windows dergelijke taakbalkpictogrammen van externe applicaties na korte tijd weg. Om ervoor te zorgen dat dit niet gebeurt, moet je met een rechter muisklik de instellingen van Taakbalk openen en op het tabblad bij de link ‘Selecteren welke pictogrammen op de taakbalk worden weergegeven’ de bij Process Explorer horende schakelaars aanzetten.

Als je alleen de pictogrammen van de belasting wilt zien, en Process Explorer op dat moment verder niet nodig hebt, kun je het starten met de parameter /t aan het eind – ook heel handig voor een autostart-­instelling. Om het venster van Process Explorer te sluiten zonder de pictogrammen te verwijderen, kun je de ­menu-optie ‘Options / Hide When Minimized’ aanzetten en je aanwennen om Process Explorer alleen te minimaliseren in plaats van het programma af te sluiten.

(Hajo Schulz en Noud van Kruysbergen, c’t magazine)

Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief: