KB » Computer » Essential tools (e.g. System Internals tools)

Essential tools (e.g. System Internals tools)

    Tweeten

Sysinternals (System Internals) introductie

Er bestaan 40 a 50 tools van wat vroeger System Internals was, en nu onderdeel is van Microsoft. Je kan de tools individueel downloaden, of als 1 groot pakket.

Hoe dan ook, je kan het beste beginnen op deze pagina van Microsoft. Als je het hele pakket wilt hebben klik je in de linkerkolom op Sysinternals Suite

Je kan de programma's zelfs vanaf de website draaien, zonder ze te downloaden (tenminste, zonder dat je je er bewust van bent).

Op de bovengenoemde hoofdpagina kan je onder het kopje What's New ook zien wat er de laatste tijd nieuw is bijgekomen of is veranderd. Wat dat betreft loont het de moeite om daar bv. 1 x per maand te gaan kijken.

Het is het handigste om de hele verzameling in een map op je harde schijf *en* een USB-stick te zetten, het laatste omdat je dan elke computer kan gaan troubleshooten.

Kies bij voorkeur een niet te lange padnaam op je harde schijf, bv. Tools\Sysinternals, of Mijn\Sysint
Je kan het pad dan toevoegen aan de omgevingsvariabele, waardoor alle tools altijd toegankelijk zijn. Kies voor de systeemvariabelen.


Toetscombinaties in programma's van SysInternals

Toetsen Procexp Auto-
runs
Procmon Betekenis
Ctrl+
pijltje
x x Als je veel velden wilt zien past de uitvoer niet op je scherm. I.p.v. steeds met de muis te moeten scrollen van links naar rechts en omgekeerd, kan je ook de Ctrl-toets gebruiken, in combinatie met pijltje naar links of rechts.
Ctrl+S x x x Opslaan van de gegevens.
Ctrl+A x Opslaan onder een andere naam.
Ctrl+O x x Openen van een opgeslagen bestand met gegevens.
Ctrl+E x Stoppen/starten met monitoren (E staat voor events = gebeurtenissen).
Ctrl+F x x x Zoeken (F = Find).
F3 x x Zoek de volgende.
F5 x x Verversen (Refresh).
Ctrl+M x x Zoek op Internet naar de gegevens op de geselecteerde regel (Search Online).
Ctrl+T x x Laat een boomstructuur van de processen zien (Process Tree).
Ctrl+H x Laat handles zien in de onderste helft van het scherm.
Ctrl+H x Markeer bepaalde regels (Highlight).
Ctrl+C x x Kopiëer.
Del x Verwijder de geselecteerde regel.
Ctrl+L x Wijzig het filter (welke gebeurtenissen getoond worden).
Enter x x x Laat de eigenschappen van de geselecteerde regel zien.
Ctrl+L x Laat de onderste helft van het scherm zien (of juist niet). (L staat voor lower = lager).
Shift+Del x Verwijder het geselecteerde proces en alle die er door gestart zijn.
Ctrl+I x Laat systeeminformatie zien.
Ctrl+D x Laat DLL's zien in de onderste helft van het scherm.
Spatie x Bevries het scherm (als je even iets nauwkeuriger moet bekijken).
Ctrl+R x Start een ander programma (R = run).
Ctrl+R x Zet het filter terug naar de beginwaarden (Reset Filter).
Ctrl+B x Zet een bookmark op de geselecteerde regel (of haal hem weer weg).
Ctrl+J x Spring naar de registersleutel in de geselecteerde regel (J = jump = spring).
Ctrl+K x Laat de stack zien van het proces in de geselecteerde regel.
Ctrl+A x De meest recente gebeurtenissen blijven steeds op het scherm staan (Auto Scroll).
Ctrl+X x Maak het scherm schoon (Clear Display).
F4 x Spring naar de volgende gemarkeerde (highlighted) regel.
F6 x Spring naar de volgende bookmark.

Process Explorer (versie 15.12)

Dit bestand heet procexp.exe

Het programma is gemaakt voor 32-bits Windows, maar binnenin zit ook een 64-bits versie verscholen. Dus als het ziet dat het op een 64-bits PC draait haalt het de 64-bits versie uit zichzelf, en zie je dat er 2 processen naast elkaar draaien, procexp.exe en procexp64.exe

Hieronder een lijst met veel voorkomende dingen die je met dit programma wilt doen, of die je wilt snappen:

Controleren op virussen

Door te klikken op Options, en dan op VirusTotal.com, worden alle uitvoerbare programma's door die website geanalyseerd.

VirusTotal.com bevat een collectie van meer dan 50 virusscanners, en als minimaal 1 van hen zegt dat een programma besmet is wordt dat gemeld.

Natuurlijk hoef je je nog niet al te veel zorgen maken als 1 van de scanners zegt dat je programma besmet is, en 49 zeggen van niet. Maar als het er 13 zijn, begint het toch wat zorgwekkender te worden.

Extra kolommen toevoegen (of verwijderen)

Misschien ben je tevreden met de standaardinstellingen, maar misschien wil je andere kolommen zien. Je kan zelfs meerdere sets kolommen bewaren, zodat je soms de ene set gebruikt, en soms de andere.

Klik op View - Select Columns, en je krijgt een heleboel tabbladen met alle gegevens die je kunt laten zien. Het is eenvoudigweg een kwestie van vinkjes toevoegen en weghalen.

Het programma bewaart (in het register) automatisch de op dat moment geldende set, maar als je zo lyrisch over deze weergave bent dat je hem veilig wilt stellen, kan dat via View - Save Column Set...

Tree view

Je kan de processen in tree view bekijken of gewoon als een simpele lijst.

Het voordeel van de 2e mogelijkheid is dat je makkelijk kan sorteren op naam. Het voordeel van de 1e mogelijkheid is dat je ziet welk proces door welk ander proces gestart is.

Als je nog niet in tree view zit kan je Ctrl+T indrukken of klikken op View - Show Process Tree

Er uit komen kan door te klikken op de kop boven de kolom.

Rechten

Afhankelijk van hoeveel rechten je hebt zie je misschien niet alles. Om dat wel te bereiken klik je op File - Show Details for All Processes
Het programma herstart zichzelf dan.

Process Explorer versus Taakbeheer

Systeeminformatie

De informatie die je in Taakbeheer op het tabblad (Performance) ziet, zie je in Process Explorer bovenaan (de witte, rechthoekige vakjes).

Als je het duidelijker wilt zien druk je op Ctrl+I of klik je op View - System Information

De informatie die je ziet wordt in Taakbeheer nogal anders weergegeven, maar vanaf Windows 8 laten beide programma's hetzelfde zien.

Interrupts

1 interessant ding dat je in Process Explorer bijna bovenaan ziet, maar dat in Taakbeheer niet is terug te vinden, is de categorie Interrupts

Een interrupt treedt op wanneer je bv. een toets indrukt of op de muis klikt, zodat het besturingssysteem weet dat ie iets moet doen.

Als een apparaat een beetje defect begint te raken kan er een zgn. "interrupt storm" ontstaan, en dat kan veel processortijd kosten. Met Taakbeheer heb je dan dus geen idee waar dat vandaan komt.

Normaal zou deze waarde beneden de 1% moeten zijn.

Process Explorer vanaf de commandoregel

Aangezien je als "power user" Process Explorer altijd wilt hebben draaien, kan je hem automatisch laten starten, maar dan met het volgende commando:
procexp /e /t

De 1e optie staat voor elevated mode, dus dat je alles ziet, en de 2e optie zorgt ervoor dat er een icoontje in het systeemvak (system tray) verschijnt.

Stuurprogramma van Process Explorer

Process Explorer kan zijn info alleen verzamelen m.b.v. een device driver die bij de kern(el) van Windows kan. Die driver zit ook in het programma dat je oorspronkelijk hebt ge-download, en wordt tijdens het uitvoeren in het geheugen geladen. Omdat er geen bijbehorend bestand is kan de driver niet ontladen worden. Daarom is het normaal gesproken nodig om te herstarten als je een nieuwe versie gaat gebruiken.

Waardoor is een proces gestart?

Zie Autostart Location

Welk proces hoort bij een venster?

Een ander probleem waar je tegenaan kan lopen is dat je niet snapt welk proces bij een bepaald venster hoort.

De oplossing is simpel: rechts naast het verrekijker-icoontje staat een soort doelwit om op te schieten. Zorg ervoor dat zowel Process Explorer als het andere venster zichtbaar zijn, en sleep het iccoontje naar het venster. In Process Explorer wordt dan automatisch het bijbehorende proces geselecteerd.

Eigenschappen

Er zijn 9 tabbladen:

  1. Algemene info over het uitvoerbare programma (executable)
  2. De prestaties van het proces
  3. De Input/Output-operaties van het proces
  4. Geheugengebruik van een proces
  5. De grafische kaart en processor
  6. Handles, nummers die aan elk object (bv. bestand) worden toegekend
  7. Dynamic Link Libraries, bibliotheken van subroutines
  8. .Net, een soort programmeeromgeving voor Windows
  9. Statusbalk

Tabblad Process Image

User Name

Wie is eigenaar van het proces.

Verified Signer

Wie heeft een certificaat voor dit programma ondertekend.

Autostart Location

Geeft aan hoe (meestal vanuit het register) een proces gestart is.

Je kan makkelijk naar de bijbehorende locatie in het register gaan door de eigenschappen van het proces te openen, en dan op het tabblad Image te klikken op Explore (achter Autostart Location).

Integrity level

Sinds Vista zijn er een paar kolommen aan Process Explorer toegevoegd, en 1 ervan is Integrity Level

Het heeft allemaal met de veiligheid van je PC te maken, want je zou bv. kunnen zien dat Internet Explorer (iexplore.exe) op level Medium draait, omdat het programma gestart is door Verkenner (Explorer), dat ook op level Medium draait.

Echter, er draaien nog een paar iexplore.exe-processen op level Low. Dat komt omdat je niet wilt dat webpagina's alles maar kunnen doen, dus geeft Internet Explorer deze pagina's minder bevoegdheden.

Als Internet Explorer op level Low draait heeft het ook een soort virtueel download-gebied, waardoor het geen belangrijke mappen op de schijf kan veranderen.

ASLR Enabled

ASLR staat voor Address Space Layout Randomization.

De clou hiervan is dat hackers niet zeker meer weten op welk adres bepaalde processen geladen worden (random = toevallig), zodat ze geen gebruik kunnen maken van zwakheden in de code.

Dit is naast ASLR een andere veiligheidsmaatregel. Een process dat geen ASLR heeft en geen Verified Signer zou een mooi doelwit voor aanvallen kunnen zijn.

Tabblad Process Performance

CPU Usage

Spreekt voor zichzelf.

Handle Count

Voor elk object dat een proces (programma) gebruikt, heeft het een handle (gewoon een nummer waarmee het aan het object kan refereren). Bij object kan je denken aan een bestand, of aan een grafisch onderdeel van het scherm, bv. het menu.

Base Priority

De prioriteit waarop het proces draait. Hoe hoger het getal, hoe hoger de prioriteit.

Taakbeheer loopt bv. op een hoge prioriteit, zodat het scherm sneller ververst wordt.

Contex Switches

Het aantal keren dat het proces aan de beurt is geweest in de laatste seconde.

Er draaien een heleboel processen tegelijk, dus processen krijgen om de beurt een zgn. 'time slice', een (hele) korte tijdsperiode waarin zij de processor mogen gebruiken.

Tabblad Process I/O

Read bytes/write bytes

Het aantal bytes dat door het proces gelezen en geschreven is.

Priority

Geeft de prioriteit voor input en output operaties aan.

Je wilt bv. dat de I/O-prioriteit voor Windows Media Player hoog is, omdat je anders haperingen zou krijgen.

Tabblad Process Memory

Tabblad Process GPU

Hier kan je gegevens over je grafische kaart bekijken. Wordt alle geheugen op de grafische kaart gebruikt, etc.

Tabblad Handle

Elk bestand dat een proces gebruikt, maar ook elk ander object, heeft een handle, gewoon een nummertje.

Het proces kan dus tegen Windows zeggen: ik wil van handle 314 lezen.

Informatie over handles zie je alleen als je het scherm in 2 delen splitst (via Show Lower Pane) of Ctrl+L

In de onderste helft van het scherm zie je handles of DLL's. Dat bepaal je met Ctrl+H of Ctrl+L of via de menu's View - Lower Pane View

Access mask

Het Accesss Mask geeft aan welke privileges je hebt om die handle te benaderen, bv. dat je een bestand alleen mag lezen, en niet mag beschrijven.

De gegevens over handles zie je trouwens alleen als je klikt op View - Show Lower Pane, of Ctrl+L (L van lower) intikt.

Tabblad DLL

Hier kan je bepalen welke informatie je over DLL's kunt zien.

Die informatie zie je alleen als je het scherm in 2 delen splitst (via Show Lower Pane) of Ctrl+L

In de onderste helft van het scherm zie je handles of DLL's. Dat bepaal je met Ctrl+H of Ctrl+L of via de menu's View - Lower Pane View

Tabblad .NET

Hier snap ik zelf nog niet al te veel van, dus later meer.

Tabblad Status Bar

Hier bepaal je welke velden continu worden weergegeven in de onderste balk van je scherm.

Menu's

Options

Replace Task Manager

Als je deze optie kiest komt er in de register key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options een nieuwe key taskmgr.exe te staan, met als waarde ...\procexp.exe voor de key Debugger

In feite, als je dan Ctrl+Alt+Del of Ctrl+Shift+Esc doet, wordt Process Explorer gestart met als argument taskmgr.exe

Maar procexp stoort zich daar niet aan, en start gewoon zichzelf.

Confirm Kill

Is wel wijs om aan te hebben, want je kan met de Del-toets een proces om zeep helpen.

Als je deze waarde aan hebt staan krijg je eerst nog een vraag of je het wel zeker weet.

Verify Image Signatures

Controleert van alle programma's of ze ondertekend zijn.

Als je dat ook wilt zien moet je wel de Verified Signer-kolom geselecteerd hebben.

View Tray Icons

Hiermee kan je bepalen voor welke gegevens (geheugen, CPU, etc.) je een icoontje in je systeemvak (system tray) wilt hebben.

Configure Colors

Verschillende soorten processen kan je verschillende kleuren geven.

Standaard zijn de 4 belangrijkste kleuren groen voor een proces dat nieuw is, rood voor een proces dat verdwijnt, lichtblauw/lila voor een proces dat je zelf gestart hebt, en roze voor een systeemproces (vooral services).

Bij paars moet je heel erg uitkijken. Dat soort processen zou malware (virussen e.d.) kunnen zijn.

Felblauw staat voor Immersive Process en heeft te maken met Metro, de interface van Windows 8 en hoger.

Difference Highlight Duration

Standaard staat hier 1 (seconde), en dat betekent dat als een proces verdwijnt de regel 1 seconde rood blijft.

Persoonlijk geef ik er de voorkeur aan om hier 3 a 5 seconden van te maken, zodat je vooral voor de startende en verdwijnende processen rustig de tijd hebt om te zien welke het zijn.

Configure Symbols

Als je symbols al hebt ingesteld zoals hier wordt beschreven, en dan zou dit pad nu al ingevuld moeten zijn onder Symbols Path

Anders moet je het evt. handmatig doen.

Je kan op het tabblad Memory van System Information zien of er symbols zijn ingesteld of niet. In het laatste geval staat er achter Paged Limit en Nonpaged Limit (middelste kolom) no symbols

Achter het Dbghelp.dll path staat standaard C:\debuggers\dbghelp.dll

Maar je wilt daar het pad hebben staan naar de debugger die je zelf hebt geïnstalleerd.


MSConfig

Deze tool is ontwikkeld voor Windows 98, om gebruikers met problemen makkelijker te kunnen helpen.

De tool bestaat nog steeds, en ziet er onder Windows 7 niet dramatisch veel anders uit dan onder W98.

Je kan de tool starten via Start - Uitvoeren (Run) - msconfig, gevolgd door Enter

Er zijn 5 tabbladen, Algemeen (General), Computer opstarten (Boot), Services (Services), Opstarten (Startup) en Hulpprogramma's (Tools)

Algemeen

Bij problemen met de PC, of het nou traagheid is, hangs, of iets anders, kan je via dit tabblad een soort veilige modus simuleren.

De simpelste manier is om (Diagnostic startup) te selecteren. Dan worden alleen de meest essentiële services en stuurprogramma's gestart.

Als je vooraf kijkt op het Services- en Opstarten-tabblad zal je zien dat alles aangevinkt is, als je (Diagnostic startup) kiest zijn alle vinkjes weg.

En als dan het probleem verholpen is, weet je dus dat het ligt aan 1 van de dingen die tijdens deze manier van starten zijn uitgeschakeld.

Ook met de radioknop (Selective startup) worden alle vinkjes op de 2 andere tabbladen uitgeschakeld.

In beide gevallen kan je individuele programma's of services weer inschakelen, om uit te zoeken wat het probleem veroorzaakt.

Computer opstarten

Als je meerdere versies van Windows geïnstalleerd hebt, dan is dit de simpelste manier om het boot menu te beheren.

Maar je kan hier ook een hoop andere dingen doen.

Boot options

Safe boot

Door deze keuze aan te vinken start je PC altijd in veilige modus.

Bij de radioknoppen heb je dan nog 4 keuzes, maar de 2 belangrijkste zijn (Minimal) of (Netwerk)

In het 2e geval heb je nog wel verbinding met het lokale netwerk en Internet.

No GUI boot

Niet echt belangrijk.

Ik geloof dat het betekent dat je geen statusbalkje zie tijdens het laden van Windows.

Boot log

Deze zou ik onmiddellijk aanvinken zodra je Windows installeert of je PC gekocht hebt.

Het betekent dat er bij elke start van de PC een log wordt bijgehouden van welke stuurprogramma's wel en niet correct geladen worden.

Het beste is als je regelmatig een log bewaart van een situatie waarin je nog geen problemen hebt.

De log wordt verder hier beschreven.

Base video

Deze kan je gebruiken als je problemen hebt met je video driver.

Indien aangevinkt, wordt de standaard Microsoft VGA driver gebruikt, die in principe (vrijwel) altijd zou moeten werken.

OS boot information

Deze optie is voor de meeste gebruikers niet interessant.

Als Windows start zie je alle drivers die geladen worden over je scherm voorbij vliegen.

Advanced options

Deze opties zijn vooral van nut als je je op het *echte* debuggen wilt gaan storten.

Als je klikt op (Debug) kan je bv. onder (Debug port) de poort kiezen waarin de kabel zit waarmee je de 2 computers verbindt.

Als je denkt problemen te hebben met 1 van je processoren, kan je het aantal te gebruiken processoren beperken.

Hetzelfde geldt voor het geheugen. Als je (Maximum memory) aanvinkt kan je bepalen hoeveel geheugen Windows maximaal gebruikt, en daarmee misschien een defecte geheugenchip op het spoor komen (als je eerst wel problemen had en nu niet meer).

Services

Hier zie je alle services die actief zijn.

Je kan ze op dit tabblad individueel in- of uitschakelen, en collectief in- of uitschakelen.

Verder kan je met een vinkje de Microsoft services verbergen, zodat je in geval van problemen alleen nog maar de meest waarschijnlijke boosdoeners (services van andere fabrikanten) ziet.

Opstarten

Hier zie je (in vergelijking met Autoruns) een kleine selectie van programma's die automatisch gestart worden als de PC gestart wordt.

Sommige van die programma's draaien alleen in de startfase en verdwijnen daarna, andere blijven actief.

Je kan ze op dit tabblad individueel in- of uitschakelen, en collectief in- of uitschakelen.

Hulpprogramma's

Dit is gewoon een snelle manier om allerlei programma's te starten die je ook via een andere route kunt bereiken.

Voorbeelden zijn Taakbeheer (Task Manager) en Systeemherstel (System Restore)


Autoruns

Dit programma laat je alles zien wat tijdens het starten van de PC draait.

Sommige van deze processen eindigen nadat ze hun taak volbracht hebben, andere blijven gewoon draaien (bv. als je je PC zo ingesteld hebt dat je mailprogramma altijd automatisch start).

Nieuw is dat je kunt controleren of je (uitvoerbare) bestanden besmet zijn met malware. Zie daarvoor mijn vergelijkbare stukje over Process Explorer.

Ik ga hieronder in aparte secties in op wat je in het beginscherm allemaal ziet, op het uitschakelen van programma's, op de verschillende tabbladen en op de menukeuzes.

Hoofdscherm

Alle dingen die automatisch gestart worden zijn ergens in het register gedefiniëerd. *Waar* in het register kan je zien in de blauwe balkjes.

Er zijn een hoop tabbladen, maar standaard is het tabblad Everything geselecteerd. Dat betekent dat je alles ziet, en alle andere tabbladen zijn een deeltje ervan.

De gele lijnen geven programma's e.d. aan die blijkbaar niet meer op het systeem aanwezig zijn. In wezen kan je die regels wel verwijderen, door ze te selecteren en dan op Del te drukken.

De rode (roze) regels geven aan dat er geen beschrijving (Description) of uitgever (Publisher) bekend is.

Programma's uitschakelen

Er zijn 2 manieren om programma's uit te schakelen: het vinkje weghalen of de regel verwijderen.

Het voordeel van de 1e methode is dat je misschien het programma ooit weer wilt inschakelen, en dan hoef je alleen het vinkje weer terug te zetten.

Het kan gebeuren dat je 2 volledig identieke regels ziet. Dat komt vaak omdat je een programma eerder hebt uitgeschakeld (door het vinkje ervoor weg te halen), en dat het op 1 of andere manier toch weer terug is gekomen.

Hoe weet je wat je veilig kan uitschakelen?

Het is in elk geval verstandig om van Windows-componenten af te blijven.

Als je klikt op Options - Filter Options zie je dat er standaard een vinkje staat voor Hide Windows entries

Nog verstandiger is het misschien om een vinkje te zetten voor een nog grotere categorie, nl. Hide Microsoft entries

Als er problemen zijn, ontstaan ze vrijwel altijd door programma's van andere fabrikanten dan Microsoft (en ik ben geen fan van Microsoft, dus geloof me, ik zou dit niet zeggen als ik er niet serieus van overtuigd was).

De volgende stap die je kunt zetten, als je programma's ziet waarvan je geen idee hebt of je ze veilig kunt uitschakelen, is rechtsklikken op het programma, en dan klikken op Search Online

Je standaardzoekmachine (bv. Google of Bing) wordt dan gestart, met alle zoekresultaten over dit programma in het zoekvenster. Vaak zitten bij de 1e resultaten wel nuttige tips over wat het programma doet.

De tabbladen

Voor de normale gebruiker is het tabblad Logon het meest bruikbaar.

Je hebt de volgende tabbladen:

Logon

Hier zie je de programma's die gestart worden (en misschien blijven draaien) tijdens het inloggen van een gebruiker (en dat is dus niet hetzelfde als tijdens het starten van de PC cq. Windows).

Dit zijn veel van de programma's die je ook in MSConfig zult zien.

Explorer

Hier zie je programma's die op de 1 of andere manier met Verkenner (Explorer) verweven zijn.

Ik zie bv. regels voor het compressieprogramma 7-Zip en voor VirusScan van McAfee.

En als ik rechtsklik op een bestand, zie ik in het context menu inderdaad regels staan die hiermee te maken hebben, nl. 7-Zip en Scannen op gevaarlijke items...

Internet Explorer

Hier zie je plugins in Internet Explorer, dus niet erg interessant als je browser niet gebruikt.

Een plugin die je vaak zal zien is Adobe PDF Link Helper, die er voor zorgt dat je PDF-files in de browser kan zien.

Scheduled Tasks

Dit zijn programma's die op vaste tijden draaien, en die je kan beheren met Taakbeheer (Task Scheduler).

Een veel voorkomende hier is \Adobe Flash Player Updater.

Services

Als je de Microsoft- of Windows-entries hebt verborgen, zal je hier geen grote lijst zien.

Drivers

Dit is een tabblad waar ik van af zou blijven.

Codecs

Heeft te maken met het afspelen (of opnemen) van multimedia.

Boot Execute

Hier zou normaal niet veel horen te staan.

1 situatie die wel regelmatig voorkomt is als je chkdsk laat lopen op je Windows-disk, en Windows vertelt je dat hij het programma pas kan uitvoeren tijdens de eerstvolgende start van het systeem. Dat wordt dan hier geregistreerd.

Je kan ook nog denken aan defragmentatie-programma's die alleen maar tijdens het starten kunnen draaien, omdat ze cruciale Windows-bestanden moeten kunnen benaderen.

Image Hijacks

Als je Taakbeheer door Process Explorer hebt vervangen, dan zie je hier een entry.

Het image (executable) van het ene programma wordt in wezen gekaapt (hijack) door het andere.

AppInit

Hier zal je waarschijnlijk niets zien (mogelijk al uitgeschakeld sinds Windows Vista).

KnownDLLs

Hier zou je normaal gesproken alleen maar dingen moeten zien die bij Windows horen (en dus van Microsoft zijn).

Winlogon

Hier zie je programma's die gewaarschuwd willen worden als er iemand inlogt.

Winsock Providers

Heeft te maken met het netwerk.

Print Monitors

Ik heb in deze categorie bv. een virtuele printer (Bullzip) die ik gebruik om documenten in PDF-formaat af te drukken.

Deze sectie wordt nog wel eens gebruikt door malware, dus als je hier verdachte dingen ziet, dan zou je dat verder kunnen uitpluizen en ze evt. uitschakelen.

LSA Providers

Hier zal je normaal ook niet veel (niet-Microsoft) dingen zien, behalve als je bv. een vingerafdruk-scanner aan je PC hebt hangen.

LSA staat voor Local Security Authority.

Network Providers

Niet helemaal duidelijk.

Niet echt van belang.

Menu's

We hebben de volgende menu's: File, Options, Entry en User.

File menu

Zoeken kan je met Ctrl+F of de menukeuze Find

Met Save kan je de resultaten opslaan, als tekstbestand of in een speciaal formaat (.ARN).

Opgeslagen resultaten kan je ook weer laden, m.b.v. Open

Compare is een hele interessante.

Hiermee kan je opgeslagen resultaten vergelijken met de huidige situatie. Je zou dus bv. kunnen kijken wat een installatie van een programma allemaal teweeg brengt, of af en toe eens kijken wat er allemaal op je systeem veranderd is.

Entry menu

Je kan een regel uit de lijst verwijderen (na hem geselecteerd te hebben) met de menukeuze Delete, maar het kan net zo makkelijk met Del

Jump to Entry wil zeggen dat de registereditor geopend wordt op de plek waar de geselecteerde entry zich bevindt.

Jump to Image zorgt ervoor dat er een Verkenner (Explorer)-venster wordt geopend, met als huidige map die waarin het programma zit dat bij de entry hoort.

Met Search Online (of Ctrl+M) wordt je zoekmachine geopend met de resultaten die over dit programma gevonden worden. Handig als je geen idee hebt wat het ding doet.

Options menu

Je kan hier het lettertype wijzigen (Font) en een paar interessante dingen doen onder (Filter Options).

Met Verify code signatures wordt van alle programma's gekeken of ze digitaal ondertekend zijn. Dat zou een zekere mate van betrouwbaarheid moeten inhouden.

Omdat de meeste problemen in Windows door andere bedrijven dan Microsoft veroorzaakt worden kan je *of* alleen de Windows-entries verbergen *of* alle Microsoft-entries.

Dat maakt het een stuk overzichtelijker, waardoor je de boosdoener van evt. problemen ook makkelijker op het spoor komt.

User menu

Normaal zal je alleen de autostart entries zien die gelden voor jouw gebruikersnaam.

In dit menu zal je ook nog een aantal andere gebruikersnamen zien (waaronder een aantal systeem-gebruikersnamen, zoals NT AUTHORITY\SYSTEM, en kan je zien welke programma's automatisch gestart worden voor die gebruiker.


Process Monitor (versie 3.05)

Introductie

Dit is de opvolger van de vroegere Regmon en Filemon, maar deze tool kan veel meer en beter.

In principe monitort dit programma vrijwel *alles*, bestandsactiviteit, registeractiviteit, netwerkactiviteit, etc.

Alles wat er gebeurt wordt een event genoemd, niet te verwarren met de events uit Logboeken (Event Viewer). In de laatste zie je veel abstractere en grootschaliger events.

Een flink deel van de events zijn zeer technisch van aard, en worden daarom standaard uitgefilterd. Dat mechanisme kan je wel uitschakelen.

Om enigszins fatsoenlijk met dit programma te kunnen werken moet je ook wel met filters werken, anders verzuip je in de hoeveelheid gegevens. In 1,4 seconde had ik bv. al 15.000 events.

Verderop een beschrijving van de menukeuzes, een deel van de icoontjes (onder de menu's), een paar typische probleemsituaties (en wat je kan doen) en voorbeelden.

Menu's

Je hebt de volgende hoofdmenu's: File,
Edit,
Event,
Filter,
Tools en
Options

File menu

Open

Met Open kan je gegevens bekijken die eerder door jou of een ander zijn verzameld.

Save

Hiermee kan je gegevens opslaan.

In het bovenste gedeelte (Events to save) moet je kiezen welke gebeurtenissen je wilt opslaan. Vooral als je je gegevens door een ander wilt laten bekijken zou ik kiezen voor All events, tenzij die ander je al geïnstrueerd heeft om een filter in te stellen en alleen die gebeurtenissen mee te nemen: Events displayed using current filter

Vervolgens moet je onder Format bepalen in welk formaat je de gegevens wilt opslaan.
Tenzij je ermee wilt gaan goochelen in Excel sheets o.i.d., kan je het beste kiezen voor Native Process Monitor Format
Zo'n bestand kan je op een andere computer weer makkelijk laden in Process Monitor.

Tenslotte moet je kiezen waar je het bestand wilt opslaan.

Backing Files

Dit programma produceert ongelooflijk veel uitvoer. Die uitvoer wordt in het geheugen opgeslagen met de paging file als backup (als er onvoldoende ruimte is).

Met deze menukeuze kan je ook een ander bestand opgeven, met de radioknop Use file named

Capture Events

Hiermee kan je het verzamelen van gegevens tijdelijk stopzetten en weer aanzetten.

Er is ook een handige en logische toetscombinatie voor, die in vrijwel alle Sysinternals-tools werkt: Ctrl+E

Export Configuration en Import Configuation

Als je de layout van het scherm zo hebt ingesteld dat je er helemaal tevreden mee bent, of bepaalde filters vaak wilt gebruiken, dan kan je de instellingen naar een bestand schrijven.

Je zou dat bestand zelfs op een USB-stick kunnen zetten, en op meerdere computers kunnen gebruiken, door het daar weer te importeren.

Edit

Find Highlight

Met de toets F4 of met deze menukeuze kan je de eerstvolgende regel zoeken die met een andere kleur is weergegeven.

Hoe zorg je ervoor dat er überhaupt regels met een andere kleur zijn? Door een regel te selecteren, dan rechtsklikken, dan op Highlight klikken, en dan kiezen welk veld van die regel je eruit wilt laten springen.

Als je op een regel staat met ReadFile in de kolom Operation, en je selecteert Operation, dan worden alle regels met ReadFile gekleurd.

Je zou op die manier dus ook kunnen zoeken naar fouten, bv. NAME NOT FOUND in de kolom Result

Find Bookmark

Je kan 1 of meerdere regels in de vaak ellenlange uitvoer bookmarken, en met deze menukeuze (of toets F4) van bookmark naar bookmark springen.

Je maakt bookmarks met bv. Ctrl+B (maar zie ook hier).

Event

Toggle Bookmark

Als je een regel geselecteerd hebt kan je er met deze menukeuze of met Ctrl+B een bookmark van maken.

Jump To

Op veel van de regels zie je een verwijzing naar een entry in het register.

Met Ctrl+J of deze keuze wordt de registereditor geopend en spring je meteen naar het betreffende punt in het register.

Include en exclude

Hiermee kan je bepalen welke velden je wel wilt zien en welke niet.

Highlight

1 van de vele manieren om een aantal regels, met dezelfde waarde (in het veld dat je selecteert) als de geselecteerde regel, een ander kleurtje te geven.

Je kan er dan als volgt naar zoeken en gebruik van maken.

Filter

Enable Advanced Output

Er zijn een aantal dingen standaard uitgefilterd. Dat zie je ook als je op de regel onder de scroll-balk onderaan kijkt. Daar zal vaak iets staan in de geest van
Showing 13.692 of 41.729 events (32%)

De regels die je niet ziet krijg je wel te zien met deze menukeuze. Het gaat om regels die bv. te maken hebben met operaties van het bestandssysteem (NTFS).

Je ziet zelfs Process Monitor zichzelf monitoren.

Reset Filter

Je zet de filters terug in de standaardstand.

Load Filter en Save Filter

Als je filters hebt ingesteld die je vaker wilt gebruiken kan je ze opslaan en later weer laden.

Drop Filtered Events

Normaal gesproken worden alle events bewaard, ook degenen die je niet in het scherm ziet omdat ze gefilterd zijn.

Via deze menukeuze worden de gefilterde events niet langer bewaard.

Tools

System Details

Geeft je wat basisinfo over de PC in een venstertje, bv. de computernaam, het besturingssysteem (welke versie van Windows), de hoeveelheid intern geheugen en of het een 32-bits of 64-bits Windows is.

Options

History Depth

Hiermee bepaal je hoeveel miljoen events er bewaard moeten blijven.

Select Columns

Welke kolommmen wil je zien?

2 interessante kolommen om toe te voegen zijn Relative Time en Duration

De 1e laat je zien hoever je bent in de trace, dus bv. 1 minuut en 14 seconden vanaf het begin.

De 2e laat je zien hoe lang een bepaalde operatie geduurd heeft, en daar zou je ook op kunnen filteren. Als je bv. alleen die events laat zien die langer dan 2 seconden duren, dan krijg je een idee waar de bottlenecks in je systeem zitten.

Icoontjes

Op de regel van het scherm onder de menu's, heb je rechts 5 icoontjes waarmee je ruwweg kunt bepalen wat voor soort gebeurtenissen je wilt monitoren:

  1. Het meest linkse icoontje heeft betrekking op activiteit in het register. Dat kan bv. gaan om het openen of sluiten van een registersleutel, het lezen ervan, het schrijven ervan, etc.
  2. Daarna komt een icoontje voor acties met bestanden en mappen, bv. het openen of sluiten van een bestand, lezen of schrijven van een bestand, het opvragen van een lijst van alle bestanden in een map, het controleren of een bestand bestaat, hoe groot het is, etc.
  3. Netwerkactiviteit.
  4. Procesactiviteit, dus een proces dat start of stopt, een thread die start of stopt, een programma dat een DLL laadt, etc.
  5. Profiling.
    Deze knop staat normaal gesproken uit. Je krijgt er een hoop informatie mee over wat een proces of thread de laatste seconde gedaan heeft.

Typische situaties

Programma wil niet starten

Kijk naar Load Image events van DLL's kort voor het starten van het programma.

Een DLL kan tegen een access violation zijn aangelopen, of er kan een afhankelijkheid zijn van een andere DLL die niet kan worden ingelost.

In het laatste geval zie je vaak verschillende File System events waarin gezocht wordt naar de ontbrekende DLL.

Onvoldoende rechten

Dit is het geval als de result code ACCESS DENIED is.

Je kan alle van deze events te voorschijn toveren door te klikken op Tools - Count Occurrences..., dan achter Column: de waarde Result te kiezen, en tenslotte te klikken op Count

Als je dubbelklikt op 1 van de elementen in de lijst zie je alleen events van dit type. Je kan ook klikken op Filter, en dan kom je in de filterdialoog, waar je nog dingen anders kan instellen.

Netwerkpaden die niet bestaan

Dit is het geval als de result code BAD NETWORK PATH is.

Je kan alle van deze events te voorschijn toveren door te klikken op Tools - Count Occurrences..., dan achter Column: de waarde Result te kiezen, en tenslotte te klikken op Count

Als je dubbelklikt op 1 van de elementen in de lijst zie je alleen events van dit type. Je kan ook klikken op Filter, en dan kom je in de filterdialoog, waar je nog dingen anders kan instellen.

Wat er bv. aan de hand kan zijn is dat je browser iets naar een bepaald pad gesaved heeft (een netwerkschijf of NAS-server), het bij de volgende download weer probeert, en dat het betreffende pad dan niet bereikbaar is (bv. omdat de NAS-server uit staat).

Je zou dit probleem zelfs kunnen simuleren door zo'n pad in het register aan te passen.

Een operatie duurt veel langer dan je zou verwachten

Een van de kolommen die niet standaard aanwezig zijn, maar die je wel kan toevoegen is Duration

Je kan daar ook op filteren. Dus stel dat je een vertraging hebt in Outlook, en je registreert 3000 Outlook events, dan filter je bv. op operaties die langer dan 1 seconde hebben geduurd. Goede kans dat dan de boosdoener boven water komt.

Je wilt weten waar er in het register iets veranderd wordt

Stel je wilt weten wat een verandering in de instellingen van het Power-applet van het Configuratiescherm (Control Panel) voor gevolgen heeft voor het register.

Het zou bv. kunnen zijn dat er steeds instellingen tegen je zin veranderd worden, en dat je wilt weten welk programma dat doet.

Wat je dan doet is filteren op Category Write. Indien mogelijk zou je ook een speciaal woord in het filter op kunnen nemen, zoals in dit geval Power.

Stack

Bij elk event kan je er rechts op klikken, en dan op Stack. Een andere manier om hetzelfde te bereiken is met Ctrl+K

De stack moet je van onderen naar boven lezen, en geeft aan door welke modules en functies/procedures het programma gegaan is om bij dit punt te komen.

Dat kan je veel waardevolle informatie opleveren, bv. door rond het punt waar een probleem optreedt van een aantal events de stack te bekijken. En als je een vergelijkbaar systeem hebt waar het probleem niet optreedt kan je de stacks ook met elkaar vergelijken.

Een andere optie is kijken welke niet-Microsoft dingen er in de stack voorkomen.

2 systemen vergelijken

Naast dat je (zie hierboven) stacks kan vergelijken, kan je ook de gewone uitvoer vergelijken tussen een systeem met een probleem en een soortgelijk systeem zonder probleem.

Voorbeelden

Opties in Verkenner (Explorer) veranderen

Vraag: wat gebeurt er in het register, als je in Verkenner klikt op Extra (Tools) - Mapopties (Folder options), en dan vinkjes zet voor (Show all folders) en (Automatically expand to current folder) (aannemende dat ze er eerst niet stonden)?

In de korte tijd dat ik deze acties uitvoerde had ik bijna 200.000 events, waarvan er 53.000 niet uitgefilterd waren. Hoe raak je er een flink aantal kwijt?

Klik met rechts op een aantal processen in de kolom Process Name, en dan op Exclude procesnaam

Alleen door op het update-programma van Flashplayer te klikken was ik al terug naar beneden de 30.000. Uiteindelijk hield ik nog maar 16 over, maar het programma waar het om draaide, explorer.exe was nergens te bekennen.

Het bleek dat er standaard 2 regels zijn die dat programma ook wegfilteren, dus toen ik die vinkjes had weggehaald had ik weer 9000 regels.

Aangezien de operatie succesvol verliep kan je alle regels waar niet SUCCESS staat in de kolom Result weer wegfilteren. Ik zit dan op een kleine 8000 resultaten.

Als je de regels goed bekijkt, dan zie je er een heleboel waarvan het pad in het register begint met HKCR
Daar staat vaak alleen maar een ingewikkelde code achter, dus alles wat *begint* met HKCR filteren we weg.

Roep eerst het filter-dialoogvenster op (bv. met Ctrl+L), en vul dan in de bovenste 4 velden achtereenvolgens in Path, begins with, HKCR en Exclude
Ik was terug naar ruim 6000 resultaten.

Klik dan op Tools - Registry Summary, en maak het venster zo groot dat je vooral de paden aan het eind goed kunt zien.

Nu komt het moeilijkste deel, want nu moet je proberen de meest interessante paden zien te vinden in de lijst (die in mijn geval nog redelijk lang was). Maar als je goed kijkt zie je vooral betekenisvolle namen achter paden die beginnen met HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Het is dus handig om nu alleen maar de paden te te laten zien waar Advanced in zit, dus je vult in het filter in:
Path, contains, Advanced en Include
Nu heb ik er nog maar 58 meer.

Ik ben niet geïnteresseerd in het open en sluiten van registersleutels, (RegOpenKey en RegCloseKey) of in het lezen ervan (RegQueryKey), dus die sluit ik ook allemaal uit.

En dan hou ik nog maar 4 regels over, 2 waarin een key wordt aangemaakt (RegCreateKey) en 2 waarin een waarde in het register wordt gezet, RegSetKey En dat is grappig, want ik heb ook 2 keuzevakjes aangezet.

Je kan nu zien dat het om de registerwaardes NavPaneShowAllFolders en NavPaneExpandToCurrentFolder gaat.

Je had er ook sneller kunnen komen, omdat we eigenlijk wisten dat we op zoek waren naar het veranderen van een waarde, dus naar regels met RegSetKey


Windows SDK voor Windows 7 en .Net Framework 4

Dit pakket bevat ook een aantal waardevolle troubleshooting tools. Je kan het vinden op deze Microsoft site, en als je op Details klikt zie je dat het om versie 7.1 gaat.

Dat komt omdat het hoort bij Windows 7 Service Pack 1. Voor Windows 7 was het versie 7.0 (Windows 7 zelf is versie 6.0), en .Net Framework 3.5

Als de pagina niet meer bestaat kan je naar de Bing (waarschijnlijk werkt Google ook wel) zoekpagina gaan en het volgende intikken:
windows sdk 7 .net 4
(Natuurlijk zullen er ongetwijfeld spoedig weer nieuwe versies verschijnen.)

Het programma dat je download is een web installer, wat betekent dat je een verbinding met het Internet moet hebben. Je kan er trouwens ook voor kiezen om een .ISO-file te downloaden, die je dan op DVD kunt branden en installeren.

Bij het installeren krijg je een scherm Installation Options
Je hebt maar 3 dingen nodig:

Je moet ze alleen kiezen uit de onderste categorie, Redistributable Packages
De vinkjes daarboven kan je allemaal weghalen, en alleen de 4 voor de pakketten in deze categorie kan je plaatsen of laten staan.

Na afloop van de installatie zitten de bestanden in de map \Program Files\Microsoft SDK's\Windows\v7.1\Redist

Er zitten 4 submappen in die map, en die kopiëer je naar je eigen Tools-map.

Je moet van de Debugging Tools for Windows zowel dbg_amd64.msi als dbg_x86.msi installeren, maar klik in beide gevallen op (Custom) (dus niet de standaard installatie).

Zet de x86-bestanden in de map C:\Debuggers_x86 en de x64-bestanden in de map C:\Debuggers
Daarna kopiëer je ook deze beide mappen naar je eigen map.

Zowel deze debuggers als 1 van de andere tools kunnen nl. vanaf elke machine draaien als je ze eenmaal op een USB-stick hebt gezet.

Problemen

A problem occurred while installing selected Windows SDK components. Installation of the "Microsoft Windows SDK for Windows 7" product has reported the following error: Please refer to Samples\Setup\HTML\ConfigDetails.htm document for further information. Please attempt to resolve the problem and then start Windows SDK setup again. If you continue to have problems with this issue, please visit the SDK team support page at http://go.microsoft.com/fwlink/?LinkId=130245. Click the View Log button to review the installation log. To exit, click Finish.



Symbols (nodig om herkenbare namen te krijgen)

In een programma zitten allemaal subprogramma's (procedures en functies), variabelen, constanten, etc.

Tijdens het vertalen van het programma naar een uitvoerbare versie (.EXE) worden die namen omgezet in nummers. Je ziet dan bv. in de debugger msvcrt.dll!0x73045812, iets waar je niet veel mee opschiet behalve dat je weet in welke module het probleem optrad.

Als er bij het vertalen symbols voor het programma zijn gemaakt, *en* je hebt er toegang toe (voor Windows is dat in ruime mate het geval, maar bv. ook voor Firefox), dan komt er achter het uitroepteken een leesbare naam te staan.

Symbol files hebben de extensie .PDB (program database).

Je kan de locatie van de symbols in een individueel programma aangeven (zie mijn pagina over dump analyse), maar je kan via een batch-bestandje het ook automatisch voor het hele systeem doen.

Je kan het volgende commando geven in een batch-bestand om de symbol server (de computer waar je de symbols kunt halen) in te stellen.
setx /m _NT_SYMBOL_PATH SRV*C:\Tools\Sym* \\Andere_computer\Symbol_map*http://microsoft.com/download/symbols

Je geeft ook aan waar ze worden opgeslagen, (C:\Tools\Sym) zodat ze niet steeds opnieuw van het Internet hoeven worden opgehaald.
En je kan meerdere symbol servers opgeven (steeds gescheiden door een asterisk), (bv. \\Andere_computer\Symbol_map, zodat als de 1e niet lukt, de 2e geprobeerd wordt.
Als laatste wordt dan op Internet gekeken.

In het batch-bestandje kan je ook nog een andere regel opnemen, die later voor 1 van de andere tools van belang is:
setx /m _NT_SYMCACHE_PATH C:\Tools\SymCache

Als je problemen hebt met symbols voer je een ander batch-bestand uit. Je zet daarmee de logging aan, maar dat wil je niet continu.

Je zet daarin de volgende regels:
setx DBGHELP_DBGOUT 1
setx DBGHELP_LOG C:\Tools\DbgLog\DbgHelpLog.txt

Je moet er natuurlijk wel van tevoren voor zorgen dat er in de map Tools (of hoe je hem maar genoemd hebt) een submap bestaat met de naam DbgLog


God mode

In 2010 heeft iemand van CNet ontdekt dat je via een truc een map kan maken met shortcuts naar werkelijk alle belangrijke Windows-componenten waarmee je je systeem kan beheren, van Systeemherstel tot Windows Defender (waardeloos programma, by the way) en de firewall, van backup tot datum en tijd, van Apparaatbeheer tot mapopties, enz., enz.

Nou is dat precies wat ik er op tegen heb. Veel van die componenten zijn ook te bereiken door wat namen uit je hoofd te leren. Je klikt op Start - Uitvoeren (Run), tikt in firewall.cpl gevolgd door Enter, en de firewall-instellingen verschijnen voor je neus. Zie mijn pagina over dat onderwerp.

In God mode krijg je een lijst van zo'n 300 links, waarin je de goede moet zien te zoeken. Lekker handig.

Maar goed, ieder zijn meug. En voor diegenen die er wel dol op zijn volgt hier een beschrijving van hoe je dit voor elkaar kunt krijgen.

Klik met rechts op het bureaublad (desktop), en klik op Nieuw (New) - Map (Folder). Tik dan in (of slimmer, knip en plak): GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} (dat is dus de naam van de map).

Geef Enter, doe nog een keer Enter of dubbelklik op het nieuwe icoon om in de map te komen, et voila.


Zoomit

Eigenlijk is dit voor de meeste mensen helemaal geen essentiele tool, maar hij is wel interessant voor het maken van illustratieve plaatjes of het interactief dingen via het scherm uitleggen aan mensen.

Met deze tool van System Internals kan je namelijk inzoomen op je scherm, rode (of andere gekleurde) lijnen trekken (bv. een cirkel om iets belangrijks) en teksten in je plaatjes zetten.

Ik heb alle toetsen waarmee je Zoomit bedient in een tabel beschreven, maar hieronder eerst nog wat extra uitleg over het tekenen van ellipsen e.d., en over probleempjes waar je tegenaan kan lopen.

Cirkels, ellipsen en tekst aan een plaatje toevoegen

Ik had nogal moeite om dit aspect te begrijpen, dus hier wat extra uitleg.

Met (default) Ctrl+2 schakel je over naar tekenmode.

Als je daarna de muis ingedrukt houdt en beweegt over het plaatje, kan je willekeurige lijnen tekenen.

Ellips of rechthoek

Als je een ellips of rechthoek wilt maken druk je eerst Tab of Ctrl in, en daarna beweeg je de muispointer met muis ingedrukt van begin- naar eindpunt.

Hoe weet je wat het beginpunt moet zijn? Met een rechthoek is het makkelijk. Waar je begint is een hoekpunt van de rechthoek. Als je vanaf het begin naar rechts en beneden beweegt, wordt het de linkerbovenhoek.

Met een ellips is het eigenlijk net zo simpel, alleen moet je een rechthoek om de ellips heen denken.

Problemen

Ik heb het idee dat bv. de toets om over te schakelen naar tekenmode (Ctrl+2) niet werkt als het venster van Zoomit open staat.

Als je een plaatje bewerkt hebt in tekenmodus, en je (voordat je het opslaat) andere toetsen gebruikt dan functionele (zoals bv. Alt+Tab om over te schakelen naar een ander venster), dan ben je de wijzigingen kwijt (works as designed, maar moet je wel even rekening mee houden).

Tabel met toetsen

Omdat ik zelf moeite heb alle toetsen te onthouden volgt hier een tabel:

Ctrl+1 Zoom mode aanzetten (maar je kan de key ook veranderen) Beëindigen met Esc of rechter muisklik
Ctrl+2 Drawing mode zonder zoom aanzetten (maar je kan de key ook veranderen) Beëindigen met rechter muisklik
Ctrl+Z Drawing mode: verwijder de laatste entry
e Drawing mode: verwijder alles
e Drawing mode: zet de cursor in het centrum
r Drawing mode: verander kleur in rood
g Drawing mode: verander kleur in groen
b Drawing mode: verander kleur in blauw
o Drawing mode: verander kleur in oranje
y Drawing mode: verander kleur in geel
p Drawing mode: verander kleur in roze
Shift ingedrukt houden Drawing mode: rechte lijn
Ctrl ingedrukt houden Drawing mode: teken vierkant
Tab ingedrukt houden Drawing mode: teken ellips
Shift+Ctrl ingedrukt houden Drawing mode: teken pijl
w Drawing mode: maak van het scherm een wit tekenvlak
b Drawing mode: maak van het scherm een zwart tekenvlak
t Drawing mode: intikken van tekst Beëindigen met Esc of linkermuisklik
Ctrl+3 Begin timer mode Beëindigen met Esc
Muiswiel (naar boven of beneden) Typing mode: vergroten of verkleinen fontgrootte
Pijltjes (naar boven of beneden) Typing mode: vergroten of verkleinen fontgrootte
Ctrl+C Kopiëer een ge-zoomed scherm
Ctrl+S Sla een ge-zoomed scherm op
Ctrl+4 (maar je kan de key ook veranderen) Ga in of uit LiveZoom mode In LiveZoom mode worden scherm updates getoond terwijl je ge-zoomed bent.
In deze mode moet je Ctrl+Up en Ctrl+Down gebruiken om het zoomniveau te veranderen.

Procdump


Rammap

Er is kennis van Windows internals nodig om deze tool goed te kunnen begrijpen. De tool geeft je informatie over physical memory, i.t.t. Vmmap, dat je alles over virtual memory vertelt.


Vmmap

Er is kennis van Windows internals nodig om deze tool goed te kunnen begrijpen. De tool geeft je informatie over virtual memory, i.t.t. Rammap, dat je alles over physical memory vertelt.


Use Process Monitor To Optimize The Windows Boot Process
Uitleg over hoe je het starten van Windows kunt monitoren, en hoe je de overweldigende hoeveelheid uitvoer van de tool Process Monitor kunt beteugelen.
Using Sysinternals Process Monitor to troubleshoot problems in Windows
Een gedegen uitleg over de mogelijkheden van Process Monitor, en hoe je de tool kan gebruiken om problemen op te lossen.
Ask the Performance Team Blog - Who’s That Hiding in my Windows?
Uitgebreide blog post over Autoruns.


    Tweeten

© Henk Dalmolen
Reageer via E-mail (dalmolen@xs4all.nl)

Deze pagina is voor het laatst gewijzigd op: 26-01-23 13:41:07