Hieronder een lijst met veel voorkomende dingen die je met dit programma
wilt doen, of die je wilt snappen:
Door te klikken op , en dan op
, worden alle uitvoerbare
programma's door die website geanalyseerd.
Natuurlijk hoef je je nog niet al te veel zorgen maken als 1 van de scanners
zegt dat je programma besmet is, en 49 zeggen van niet.
Maar als het er 13 zijn, begint het toch wat zorgwekkender te worden.
Misschien ben je tevreden met de standaardinstellingen, maar misschien wil je
andere kolommen zien.
Je kan zelfs meerdere sets kolommen bewaren, zodat je soms de ene set gebruikt,
en soms de andere.
Klik op , en je krijgt een
heleboel tabbladen met alle gegevens die je kunt laten zien.
Het is eenvoudigweg een kwestie van vinkjes toevoegen en weghalen.
Het programma bewaart (in het register) automatisch de op dat moment geldende
set, maar als je zo lyrisch over deze weergave bent dat je hem veilig wilt
stellen, kan dat via
Je kan de processen in tree view bekijken of gewoon als een simpele lijst.
Het voordeel van de 2e mogelijkheid is dat je makkelijk kan sorteren op naam.
Het voordeel van de 1e mogelijkheid is dat je ziet welk proces door welk
ander proces gestart is.
Afhankelijk van hoeveel rechten je hebt zie je misschien niet alles.
Om dat wel te bereiken klik je op
Het programma herstart zichzelf dan.
Een interrupt treedt op wanneer je bv. een toets indrukt of op de muis klikt,
zodat het besturingssysteem weet dat ie iets moet doen.
Als een apparaat een beetje defect begint te raken kan er een zgn.
"interrupt storm" ontstaan, en dat kan veel processortijd kosten.
Met Taakbeheer heb je dan dus geen idee waar dat
vandaan komt.
De 1e optie staat voor elevated mode, dus dat je alles ziet, en de 2e optie
zorgt ervoor dat er een icoontje in het systeemvak (system tray) verschijnt.
Een ander probleem waar je tegenaan kan lopen is dat je niet snapt welk proces
bij een bepaald venster hoort.
De oplossing is simpel: rechts naast het verrekijker-icoontje staat een soort
doelwit om op te schieten.
Zorg ervoor dat zowel Process Explorer als het andere
venster zichtbaar zijn, en sleep het iccoontje naar het venster.
In Process Explorer wordt dan automatisch het
bijbehorende proces geselecteerd.
Je kan makkelijk naar de bijbehorende locatie in het register gaan door
de eigenschappen van het proces te openen, en dan op het tabblad
Image te klikken op Explore
(achter Autostart Location).
Het heeft allemaal met de veiligheid van je PC te maken, want je zou bv. kunnen
zien dat Internet Explorer
(iexplore.exe) op level Medium
draait, omdat het programma gestart is door
Verkenner (Explorer), dat ook op level
Medium draait.
ASLR staat voor Address Space Layout Randomization.
De clou hiervan is dat hackers niet zeker meer weten op welk adres bepaalde
processen geladen worden (random = toevallig), zodat ze geen gebruik kunnen
maken van zwakheden in de code.
Voor elk object dat een proces (programma) gebruikt, heeft het een handle
(gewoon een nummer waarmee het aan het object kan refereren).
Bij object kan je denken aan een bestand, of aan een grafisch onderdeel van het
scherm, bv. het menu.
De prioriteit waarop het proces draait.
Hoe hoger het getal, hoe hoger de prioriteit.
Er draaien een heleboel processen tegelijk, dus processen krijgen om de beurt
een zgn. 'time slice', een (hele) korte tijdsperiode waarin zij de processor
mogen gebruiken.
Het aantal bytes dat door het proces gelezen en geschreven is.
Geeft de prioriteit voor input en output operaties aan.
Je wilt bv. dat de I/O-prioriteit voor
Windows Media Player hoog is, omdat je anders
haperingen zou krijgen.
Hier kan je gegevens over je grafische kaart bekijken.
Wordt alle geheugen op de grafische kaart gebruikt, etc.
Elk bestand dat een proces gebruikt, maar ook elk ander object, heeft een
handle, gewoon een nummertje.
Het proces kan dus tegen Windows zeggen: ik wil van handle 314 lezen.
Informatie over handles zie je alleen als je het scherm in 2 delen splitst (via
) of Ctrl+L
Hier kan je bepalen welke informatie je over DLL's kunt zien.
Hier bepaal je welke velden continu worden weergegeven in de onderste balk
van je scherm.
Replace Task Manager
Als je deze optie kiest komt er in de register key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
een nieuwe key taskmgr.exe te staan, met als
waarde ...\procexp.exe voor de key
Debugger
In feite, als je dan Ctrl+Alt+Del
of Ctrl+Shift+Esc doet, wordt
Process Explorer gestart met als argument
taskmgr.exe
Maar procexp stoort zich daar niet aan, en start gewoon
zichzelf.
Confirm Kill
Is wel wijs om aan te hebben, want je kan met de
Del-toets een proces om zeep helpen.
Als je deze waarde aan hebt staan krijg je eerst nog een vraag of je het wel
zeker weet.
Verify Image Signatures
Controleert van alle programma's of ze ondertekend zijn.
Als je dat ook wilt zien moet je wel de
Verified Signer-kolom
geselecteerd hebben.
View Tray Icons
Hiermee kan je bepalen voor welke gegevens (geheugen, CPU, etc.) je een icoontje
in je systeemvak (system tray) wilt hebben.
Configure Colors
Verschillende soorten processen kan je verschillende kleuren geven.
Standaard zijn de 4 belangrijkste kleuren groen voor een proces dat nieuw is,
rood voor een proces dat verdwijnt,
lichtblauw/lila voor een proces dat je zelf gestart
hebt, en roze voor een systeemproces (vooral services).
Bij paars moet je heel erg uitkijken.
Dat soort processen zou malware (virussen e.d.) kunnen zijn.
Felblauw staat voor Immersive Process en heeft te maken
met Metro, de interface van Windows 8 en hoger.
Difference Highlight Duration
Standaard staat hier 1 (seconde), en dat betekent dat als een proces verdwijnt
de regel 1 seconde rood blijft.
Persoonlijk geef ik er de voorkeur aan om hier 3 a 5 seconden van te maken,
zodat je vooral voor de startende en verdwijnende processen rustig de tijd hebt
om te zien welke het zijn.
Configure Symbols
Als je symbols al hebt ingesteld zoals hier
wordt beschreven, en dan zou dit pad nu al ingevuld moeten zijn onder
Symbols Path
Anders moet je het evt. handmatig doen.
Je kan op het tabblad Memory van
System Information zien of er symbols zijn ingesteld of
niet.
In het laatste geval staat er achter Paged Limit en
Nonpaged Limit (middelste kolom)
no symbols
Achter het Dbghelp.dll path staat standaard
C:\debuggers\dbghelp.dll
Maar je wilt daar het pad hebben staan naar de
debugger die je zelf hebt geïnstalleerd.
MSConfig
Deze tool is ontwikkeld voor Windows 98, om gebruikers met problemen makkelijker
te kunnen helpen.
De tool bestaat nog steeds, en ziet er onder Windows 7 niet dramatisch veel
anders uit dan onder W98.
Je kan de tool starten via , gevolgd door Enter
Er zijn 5 tabbladen,
Algemeen (General),
Computer opstarten (Boot),
Services (Services),
Opstarten (Startup) en
Hulpprogramma's (Tools)
Algemeen
Bij problemen met de PC, of het nou traagheid is, hangs, of iets anders,
kan je via dit tabblad een soort
veilige modus simuleren.
De simpelste manier is om
(Diagnostic startup)
te selecteren.
Dan worden alleen de meest essentiële services en stuurprogramma's gestart.
Als je vooraf kijkt op het Services- en
Opstarten-tabblad zal je zien dat alles aangevinkt
is, als je (Diagnostic startup)
kiest zijn alle vinkjes weg.
En als dan het probleem verholpen is, weet je dus dat het ligt aan 1 van de
dingen die tijdens deze manier van starten zijn uitgeschakeld.
Ook met de radioknop (Selective startup)
worden alle vinkjes op de 2 andere tabbladen uitgeschakeld.
In beide gevallen kan je individuele programma's of services weer inschakelen,
om uit te zoeken wat het probleem veroorzaakt.
Computer opstarten
Als je meerdere versies van Windows geïnstalleerd hebt, dan is dit de
simpelste manier om het boot menu te beheren.
Maar je kan hier ook een hoop andere dingen doen.
Boot options
Safe boot
Door deze keuze aan te vinken start je PC altijd in
veilige modus.
Bij de radioknoppen heb je dan nog 4 keuzes, maar de 2 belangrijkste zijn
(Minimal) of
(Netwerk)
In het 2e geval heb je nog wel verbinding met het lokale netwerk en Internet.
No GUI boot
Niet echt belangrijk.
Ik geloof dat het betekent dat je geen statusbalkje zie tijdens het laden
van Windows.
Boot log
Deze zou ik onmiddellijk aanvinken zodra je Windows installeert of je PC
gekocht hebt.
Het betekent dat er bij elke start van de PC een log wordt bijgehouden van
welke stuurprogramma's wel en niet correct geladen worden.
Het beste is als je regelmatig een log bewaart van een situatie waarin je nog
geen problemen hebt.
De log wordt verder hier beschreven.
Base video
Deze kan je gebruiken als je problemen hebt met je video driver.
Indien aangevinkt, wordt de standaard Microsoft VGA driver gebruikt, die in
principe (vrijwel) altijd zou moeten werken.
OS boot information
Deze optie is voor de meeste gebruikers niet interessant.
Als Windows start zie je alle drivers die geladen worden over je scherm
voorbij vliegen.
Advanced options
Deze opties zijn vooral van nut als je je op het *echte* debuggen wilt gaan
storten.
Als je klikt op (Debug)
kan je bv. onder (Debug port)
de poort kiezen waarin de kabel zit waarmee je de 2 computers verbindt.
Als je denkt problemen te hebben met 1 van je processoren, kan je het aantal
te gebruiken processoren beperken.
Hetzelfde geldt voor het geheugen.
Als je (Maximum memory)
aanvinkt kan je bepalen hoeveel geheugen Windows maximaal gebruikt, en
daarmee misschien een defecte geheugenchip op het spoor komen (als je eerst
wel problemen had en nu niet meer).
Services
Hier zie je alle services die actief zijn.
Je kan ze op dit tabblad individueel in- of uitschakelen, en collectief
in- of uitschakelen.
Verder kan je met een vinkje de Microsoft services verbergen, zodat je in geval
van problemen alleen nog maar de meest waarschijnlijke boosdoeners (services van
andere fabrikanten) ziet.
Opstarten
Hier zie je (in vergelijking met
Autoruns) een kleine selectie
van programma's die automatisch gestart worden als de PC gestart wordt.
Sommige van die programma's draaien alleen in de startfase en verdwijnen
daarna, andere blijven actief.
Je kan ze op dit tabblad individueel in- of uitschakelen, en collectief
in- of uitschakelen.
Dit is gewoon een snelle manier om allerlei programma's te starten die je
ook via een andere route kunt bereiken.
Voorbeelden zijn Taakbeheer (Task Manager)
en Systeemherstel (System Restore)
Autoruns
Dit programma laat je alles zien wat tijdens het starten van de PC draait.
Sommige van deze processen eindigen nadat ze hun taak volbracht hebben, andere
blijven gewoon draaien (bv. als je je PC zo ingesteld hebt dat je mailprogramma
altijd automatisch start).
Nieuw is dat je kunt controleren of je (uitvoerbare) bestanden besmet
zijn met malware.
Zie daarvoor mijn vergelijkbare stukje over
Process Explorer.
Ik ga hieronder in aparte secties in op wat je in het
beginscherm allemaal ziet, op het
uitschakelen van programma's, op de
verschillende tabbladen en op de
menukeuzes.
Hoofdscherm
Alle dingen die automatisch gestart worden zijn ergens in het
register gedefiniëerd.
*Waar* in het register kan je zien in de blauwe balkjes.
Er zijn een hoop tabbladen, maar standaard is het tabblad
Everything geselecteerd.
Dat betekent dat je alles ziet, en alle andere tabbladen zijn een deeltje ervan.
De gele lijnen geven programma's e.d. aan die blijkbaar niet meer op het
systeem aanwezig zijn.
In wezen kan je die regels wel verwijderen, door ze te selecteren en dan op
Del te drukken.
De rode (roze) regels geven aan dat er geen beschrijving
(Description) of uitgever
(Publisher) bekend is.
Programma's uitschakelen
Er zijn 2 manieren om programma's uit te schakelen: het vinkje weghalen of
de regel verwijderen.
Het voordeel van de 1e methode is dat je misschien het programma ooit weer
wilt inschakelen, en dan hoef je alleen het vinkje weer terug te zetten.
Het kan gebeuren dat je 2 volledig identieke regels ziet.
Dat komt vaak omdat je een programma eerder hebt uitgeschakeld (door het
vinkje ervoor weg te halen), en dat het op 1 of andere manier toch weer terug
is gekomen.
Hoe weet je wat je veilig kan uitschakelen?
Het is in elk geval verstandig om van Windows-componenten af te blijven.
Als je klikt op zie je
dat er standaard een vinkje staat voor
Hide Windows entries
Nog verstandiger is het misschien om een vinkje te zetten voor een nog grotere
categorie, nl. Hide Microsoft entries
Als er problemen zijn, ontstaan ze vrijwel altijd door programma's van andere
fabrikanten dan Microsoft (en ik ben geen fan van Microsoft, dus geloof me,
ik zou dit niet zeggen als ik er niet serieus van overtuigd was).
De volgende stap die je kunt zetten, als je programma's ziet waarvan je geen
idee hebt of je ze veilig kunt uitschakelen, is rechtsklikken op het programma,
en dan klikken op
Je standaardzoekmachine (bv. Google of Bing) wordt dan gestart, met alle
zoekresultaten over dit programma in het zoekvenster.
Vaak zitten bij de 1e resultaten wel nuttige tips over wat het programma doet.
De tabbladen
Voor de normale gebruiker is het tabblad Logon
het meest bruikbaar.
Je hebt de volgende tabbladen:
Logon
Hier zie je de programma's die gestart worden (en misschien blijven draaien)
tijdens het inloggen van een gebruiker (en dat is dus niet hetzelfde als
tijdens het starten van de PC cq. Windows).
Dit zijn veel van de programma's die je ook in
MSConfig zult zien.
Explorer
Hier zie je programma's die op de 1 of andere manier met
Verkenner (Explorer) verweven zijn.
Ik zie bv. regels voor het compressieprogramma 7-Zip
en voor VirusScan van McAfee.
En als ik rechtsklik op een bestand, zie ik in het context menu inderdaad
regels staan die hiermee te maken hebben, nl.
en
Internet Explorer
Hier zie je plugins in
Internet Explorer, dus niet erg interessant als je
browser niet gebruikt.
Een plugin die je vaak zal zien is Adobe PDF Link
Helper, die er voor zorgt dat je PDF-files
in de browser kan zien.
Scheduled Tasks
Dit zijn programma's die op vaste tijden draaien, en die je kan beheren
met Taakbeheer (Task
Scheduler).
Een veel voorkomende hier is \Adobe Flash Player
Updater.
Services
Als je de Microsoft- of Windows-entries hebt verborgen, zal je hier geen
grote lijst zien.
Drivers
Dit is een tabblad waar ik van af zou blijven.
Codecs
Heeft te maken met het afspelen (of opnemen) van multimedia.
Boot Execute
Hier zou normaal niet veel horen te staan.
1 situatie die wel regelmatig voorkomt is als
je chkdsk laat lopen op je Windows-disk,
en Windows vertelt je dat hij het programma pas kan uitvoeren tijdens de
eerstvolgende start van het systeem.
Dat wordt dan hier geregistreerd.
Je kan ook nog denken aan defragmentatie-programma's die alleen maar tijdens
het starten kunnen draaien, omdat ze cruciale Windows-bestanden moeten
kunnen benaderen.
Image Hijacks
Als je Taakbeheer
door Process Explorer hebt vervangen, dan
zie je hier een entry.
Het image (executable) van het ene programma wordt in wezen gekaapt (hijack)
door het andere.
AppInit
Hier zal je waarschijnlijk niets zien (mogelijk al uitgeschakeld sinds Windows
Vista).
KnownDLLs
Hier zou je normaal gesproken alleen maar dingen moeten zien die bij Windows
horen (en dus van Microsoft zijn).
Winlogon
Hier zie je programma's die gewaarschuwd willen worden als er iemand inlogt.
Winsock Providers
Heeft te maken met het netwerk.
Print Monitors
Ik heb in deze categorie bv. een virtuele printer (Bullzip) die ik gebruik
om documenten in PDF-formaat af te drukken.
Deze sectie wordt nog wel eens gebruikt door malware, dus als je hier
verdachte dingen ziet, dan zou je dat verder kunnen uitpluizen en ze evt.
uitschakelen.
LSA Providers
Hier zal je normaal ook niet veel (niet-Microsoft) dingen zien, behalve als
je bv. een vingerafdruk-scanner aan je PC hebt hangen.
LSA staat voor Local Security Authority.
Network Providers
Niet helemaal duidelijk.
Niet echt van belang.
We hebben de volgende menu's: File,
Options, Entry en
User.
File menu
Zoeken kan je met Ctrl+F of de menukeuze
Met kan je de resultaten opslaan, als
tekstbestand of in een speciaal formaat (.ARN).
Opgeslagen resultaten kan je ook weer laden, m.b.v.
is een hele interessante.
Hiermee kan je opgeslagen resultaten vergelijken met de huidige situatie.
Je zou dus bv. kunnen kijken wat een installatie van een programma allemaal
teweeg brengt, of af en toe eens kijken wat er allemaal op je systeem
veranderd is.
Entry menu
Je kan een regel uit de lijst verwijderen (na hem geselecteerd te hebben)
met de menukeuze , maar het kan net zo
makkelijk met Del
wil zeggen dat de registereditor
geopend wordt op de plek waar de geselecteerde entry zich bevindt.
zorgt ervoor dat er een
Verkenner (Explorer)-venster wordt geopend,
met als huidige map die waarin het programma zit dat bij de entry hoort.
Met (of
Ctrl+M) wordt je zoekmachine geopend met de
resultaten die over dit programma gevonden worden.
Handig als je geen idee hebt wat het ding doet.
Options menu
Je kan hier het lettertype wijzigen () en
een paar interessante dingen doen
onder ().
Met wordt van alle programma's
gekeken of ze digitaal ondertekend zijn.
Dat zou een zekere mate van betrouwbaarheid moeten inhouden.
Omdat de meeste problemen in Windows door andere bedrijven dan Microsoft
veroorzaakt worden kan je *of* alleen de Windows-entries verbergen *of*
alle Microsoft-entries.
Dat maakt het een stuk overzichtelijker, waardoor je de boosdoener van evt.
problemen ook makkelijker op het spoor komt.
User menu
Normaal zal je alleen de autostart entries zien die gelden voor jouw
gebruikersnaam.
In dit menu zal je ook nog een aantal andere gebruikersnamen zien
(waaronder een aantal systeem-gebruikersnamen, zoals
NT AUTHORITY\SYSTEM, en kan je
zien welke programma's automatisch gestart worden voor die gebruiker.
Process Monitor (versie 3.05)
Introductie
Dit is de opvolger van de vroegere Regmon en
Filemon, maar deze tool kan veel meer en beter.
In principe monitort dit programma vrijwel *alles*, bestandsactiviteit,
registeractiviteit, netwerkactiviteit, etc.
Alles wat er gebeurt wordt een event genoemd, niet te verwarren met de events
uit Logboeken (Event Viewer).
In de laatste zie je veel abstractere en grootschaliger events.
Een flink deel van de events zijn zeer technisch van aard, en worden daarom
standaard uitgefilterd.
Dat mechanisme kan je wel uitschakelen.
Om enigszins fatsoenlijk met dit programma te kunnen werken moet je ook wel
met filters werken, anders verzuip je in de hoeveelheid gegevens.
In 1,4 seconde had ik bv. al 15.000 events.
Verderop een beschrijving van de menukeuzes,
een deel van de icoontjes (onder de menu's),
een paar typische probleemsituaties (en wat je kan doen)
en voorbeelden.
Je hebt de volgende hoofdmenu's:
,
,
,
,
en
File menu
Open
Met kan je gegevens bekijken die eerder door
jou of een ander zijn verzameld.
Save
Hiermee kan je gegevens opslaan.
In het bovenste gedeelte (Events to save)
moet je kiezen welke gebeurtenissen je wilt opslaan.
Vooral als je je gegevens door een ander wilt laten bekijken zou ik kiezen
voor All events, tenzij die ander je al
geïnstrueerd heeft om een filter in te stellen en alleen die
gebeurtenissen mee te nemen:
Vervolgens moet je onder Format bepalen in welk
formaat je de gegevens wilt opslaan.
Tenzij je ermee wilt gaan goochelen in Excel sheets o.i.d., kan je het beste
kiezen voor Native Process Monitor Format
Zo'n bestand kan je op een andere computer weer makkelijk laden in
Process Monitor.
Tenslotte moet je kiezen waar je het bestand wilt opslaan.
Backing Files
Dit programma produceert ongelooflijk veel uitvoer.
Die uitvoer wordt in het geheugen opgeslagen met de
paging file als backup (als er onvoldoende ruimte
is).
Met deze menukeuze kan je ook een ander bestand opgeven, met de radioknop
Use file named
Capture Events
Hiermee kan je het verzamelen van gegevens tijdelijk stopzetten en weer
aanzetten.
Er is ook een handige en logische toetscombinatie voor, die in vrijwel
alle Sysinternals-tools werkt: Ctrl+E
Export Configuration en Import Configuation
Als je de layout van het scherm zo hebt ingesteld dat je er helemaal tevreden
mee bent, of bepaalde filters vaak wilt gebruiken, dan kan je de instellingen
naar een bestand schrijven.
Je zou dat bestand zelfs op een USB-stick kunnen zetten, en op meerdere
computers kunnen gebruiken, door het daar weer te importeren.
Edit
Find Highlight
Met de toets F4 of met deze menukeuze kan
je de eerstvolgende regel zoeken die met een andere kleur is weergegeven.
Hoe zorg je ervoor dat er überhaupt regels met een andere kleur zijn?
Door een regel te selecteren, dan rechtsklikken, dan op
klikken, en dan kiezen welk veld van
die regel je eruit wilt laten springen.
Als je op een regel staat met
ReadFile in de kolom
Operation, en je selecteert
, dan worden alle regels met
ReadFile gekleurd.
Je zou op die manier dus ook kunnen zoeken naar fouten, bv.
NAME NOT FOUND in de kolom
Result
Find Bookmark
Je kan 1 of meerdere regels in de vaak ellenlange uitvoer bookmarken, en
met deze menukeuze (of toets F4) van bookmark naar
bookmark springen.
Je maakt bookmarks met bv. Ctrl+B (maar
zie ook hier).
Event
Toggle Bookmark
Als je een regel geselecteerd hebt kan je er met deze menukeuze of met
Ctrl+B een bookmark van maken.
Jump To
Op veel van de regels zie je een verwijzing naar een entry in het register.
Met Ctrl+J of deze keuze wordt de registereditor
geopend en spring je meteen naar het betreffende punt in het register.
Include en exclude
Hiermee kan je bepalen welke velden je wel wilt zien en welke niet.
Highlight
1 van de vele manieren om een aantal regels, met dezelfde waarde (in het
veld dat je selecteert) als de geselecteerde regel, een ander kleurtje
te geven.
Je kan er dan als volgt naar zoeken en gebruik van
maken.
Filter
Enable Advanced Output
Er zijn een aantal dingen standaard uitgefilterd.
Dat zie je ook als je op de regel onder de scroll-balk onderaan kijkt.
Daar zal vaak iets staan in de geest van
Showing 13.692 of 41.729 events (32%)
De regels die je niet ziet krijg je wel te zien met deze menukeuze.
Het gaat om regels die bv. te maken hebben met operaties van het
bestandssysteem (NTFS).
Je ziet zelfs Process Monitor zichzelf monitoren.
Reset Filter
Je zet de filters terug in de standaardstand.
Load Filter en Save Filter
Als je filters hebt ingesteld die je vaker wilt gebruiken kan je ze opslaan
en later weer laden.
Drop Filtered Events
Normaal gesproken worden alle events bewaard, ook degenen die je niet in
het scherm ziet omdat ze gefilterd zijn.
Via deze menukeuze worden de gefilterde events niet langer bewaard.
System Details
Geeft je wat basisinfo over de PC in een venstertje, bv. de computernaam,
het besturingssysteem (welke versie van Windows), de hoeveelheid intern
geheugen en of het een 32-bits of 64-bits Windows is.
Options
History Depth
Hiermee bepaal je hoeveel miljoen events er bewaard moeten blijven.
Select Columns
Welke kolommmen wil je zien?
2 interessante kolommen om toe te voegen zijn
Relative Time en Duration
De 1e laat je zien hoever je bent in de trace, dus bv. 1 minuut en 14 seconden
vanaf het begin.
De 2e laat je zien hoe lang een bepaalde operatie geduurd heeft, en daar zou
je ook op kunnen filteren.
Als je bv. alleen die events laat zien die langer dan 2 seconden duren, dan
krijg je een idee waar de bottlenecks in je systeem zitten.
Icoontjes
Op de regel van het scherm onder de menu's, heb je rechts 5 icoontjes waarmee
je ruwweg kunt bepalen wat voor soort gebeurtenissen je wilt monitoren:
- Het meest linkse icoontje heeft betrekking op activiteit in het
register.
Dat kan bv. gaan om het openen of sluiten van een registersleutel, het lezen
ervan, het schrijven ervan, etc.
- Daarna komt een icoontje voor acties met bestanden en mappen, bv. het
openen of sluiten van een bestand, lezen of schrijven van een bestand,
het opvragen van een lijst van alle bestanden in een map, het controleren
of een bestand bestaat, hoe groot het is, etc.
- Netwerkactiviteit.
- Procesactiviteit, dus een proces dat start of stopt, een
thread die start of stopt,
een programma dat een DLL laadt, etc.
- Profiling.
Deze knop staat normaal gesproken uit.
Je krijgt er een hoop informatie mee over wat een proces of thread de laatste
seconde gedaan heeft.
Typische situaties
Programma wil niet starten
Kijk naar Load Image events van DLL's
kort voor het starten van het programma.
Een DLL kan tegen een access violation zijn aangelopen, of er kan een
afhankelijkheid zijn van een andere DLL die niet kan worden ingelost.
In het laatste geval zie je vaak verschillende File
System events waarin gezocht wordt naar de ontbrekende DLL.
Onvoldoende rechten
Dit is het geval als de result code ACCESS DENIED is.
Je kan alle van deze events te voorschijn toveren door te klikken op
, dan
achter Column: de waarde
Result te kiezen, en tenslotte te klikken op
Count
Als je dubbelklikt op 1 van de elementen in de lijst zie je alleen
events van dit type.
Je kan ook klikken op Filter, en
dan kom je in de filterdialoog, waar je nog dingen anders kan instellen.
Netwerkpaden die niet bestaan
Dit is het geval als de result code BAD NETWORK PATH
is.
Je kan alle van deze events te voorschijn toveren door te klikken op
, dan
achter Column: de waarde
Result te kiezen, en tenslotte te klikken op
Count
Als je dubbelklikt op 1 van de elementen in de lijst zie je alleen
events van dit type.
Je kan ook klikken op Filter, en
dan kom je in de filterdialoog, waar je nog dingen anders kan instellen.
Wat er bv. aan de hand kan zijn is dat je browser iets naar een bepaald pad
gesaved heeft (een netwerkschijf of NAS-server), het bij de volgende download
weer probeert, en dat het betreffende pad dan niet bereikbaar is (bv. omdat
de NAS-server uit staat).
Je zou dit probleem zelfs kunnen simuleren door zo'n pad in het register
aan te passen.
Een operatie duurt veel langer dan je zou verwachten
Een van de kolommen die niet standaard aanwezig zijn, maar die je wel kan
toevoegen is Duration
Je kan daar ook op filteren.
Dus stel dat je een vertraging hebt in
Outlook, en je registreert 3000
Outlook events, dan filter je bv. op operaties
die langer dan 1 seconde hebben geduurd.
Goede kans dat dan de boosdoener boven water komt.
Je wilt weten waar er in het register iets veranderd wordt
Stel je wilt weten wat een verandering in de instellingen van het
Power-applet van het
Configuratiescherm (Control Panel)
voor gevolgen heeft voor het register.
Het zou bv. kunnen zijn dat er steeds instellingen tegen je zin veranderd
worden, en dat je wilt weten welk programma dat doet.
Wat je dan doet is filteren op
Write.
Indien mogelijk zou je ook een speciaal woord in het filter op kunnen
nemen, zoals in dit geval Power.
Stack
Bij elk event kan je er rechts op klikken, en dan op
.
Een andere manier om hetzelfde te bereiken is met
Ctrl+K
De stack moet je van onderen naar boven lezen, en geeft aan door welke
modules en functies/procedures het programma gegaan is om bij dit punt
te komen.
Dat kan je veel waardevolle informatie opleveren, bv. door rond het
punt waar een probleem optreedt van een aantal events de stack te bekijken.
En als je een vergelijkbaar systeem hebt waar het probleem niet optreedt
kan je de stacks ook met elkaar vergelijken.
Een andere optie is kijken welke niet-Microsoft dingen er in de stack
voorkomen.
2 systemen vergelijken
Naast dat je (zie hierboven) stacks kan vergelijken, kan je ook de gewone
uitvoer vergelijken tussen een systeem met een probleem en een soortgelijk
systeem zonder probleem.
Voorbeelden
Opties in Verkenner (Explorer) veranderen
Vraag: wat gebeurt er in het register, als je in
Verkenner klikt op
, en
dan vinkjes zet voor
(Show all folders) en
(Automatically expand to current folder)
(aannemende dat ze er eerst niet stonden)?
In de korte tijd dat ik deze acties uitvoerde had ik bijna 200.000 events,
waarvan er 53.000 niet uitgefilterd waren.
Hoe raak je er een flink aantal kwijt?
Klik met rechts op een aantal processen in de kolom
Process Name, en dan op
Alleen door op het update-programma van Flashplayer te klikken was ik al terug
naar beneden de 30.000.
Uiteindelijk hield ik nog maar 16 over, maar het programma waar het om draaide,
explorer.exe was nergens te bekennen.
Het bleek dat er standaard 2 regels zijn die dat programma ook wegfilteren,
dus toen ik die vinkjes had weggehaald had ik weer 9000 regels.
Aangezien de operatie succesvol verliep kan je alle regels waar niet
SUCCESS staat in de kolom
Result weer wegfilteren.
Ik zit dan op een kleine 8000 resultaten.
Als je de regels goed bekijkt, dan zie je er een heleboel waarvan het pad in
het register begint met HKCR
Daar staat vaak alleen maar een ingewikkelde code achter, dus alles wat *begint*
met HKCR filteren we weg.
Roep eerst het filter-dialoogvenster op (bv. met
Ctrl+L), en vul dan in de bovenste 4 velden
achtereenvolgens in Path,
begins with, HKCR en
Exclude
Ik was terug naar ruim 6000 resultaten.
Klik dan op , en maak
het venster zo groot dat je vooral de paden aan het eind goed kunt zien.
Nu komt het moeilijkste deel, want nu moet je proberen de meest interessante
paden zien te vinden in de lijst (die in mijn geval nog redelijk lang was).
Maar als je goed kijkt zie je vooral betekenisvolle namen achter paden die
beginnen met
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Het is dus handig om nu alleen maar de paden te te laten zien waar
Advanced in zit, dus je vult in het filter in:
Path, contains,
Advanced en Include
Nu heb ik er nog maar 58 meer.
Ik ben niet geïnteresseerd in het open en sluiten van registersleutels,
(RegOpenKey en RegCloseKey)
of in het lezen ervan (RegQueryKey), dus die sluit ik
ook allemaal uit.
En dan hou ik nog maar 4 regels over, 2 waarin een key wordt aangemaakt
(RegCreateKey) en 2 waarin een waarde in het register
wordt gezet, RegSetKey
En dat is grappig, want ik heb ook 2 keuzevakjes aangezet.
Je kan nu zien dat het om de registerwaardes
NavPaneShowAllFolders en
NavPaneExpandToCurrentFolder gaat.
Je had er ook sneller kunnen komen, omdat we eigenlijk wisten dat we op zoek
waren naar het veranderen van een waarde, dus naar regels met
RegSetKey
Windows SDK voor Windows 7 en .Net Framework 4
Dit pakket bevat ook een aantal waardevolle troubleshooting tools.
Je kan het vinden op
deze Microsoft site, en als je op
Details klikt zie je dat het om versie 7.1 gaat.
Dat komt omdat het hoort bij Windows 7 Service Pack 1.
Voor Windows 7 was het versie 7.0 (Windows 7 zelf is versie 6.0), en
.Net Framework 3.5
Als de pagina niet meer bestaat kan je naar de Bing (waarschijnlijk werkt
Google ook wel) zoekpagina gaan en het volgende intikken:
windows sdk 7 .net 4
(Natuurlijk zullen er ongetwijfeld spoedig weer nieuwe versies verschijnen.)
Het programma dat je download is een web installer, wat betekent dat je een
verbinding met het Internet moet hebben.
Je kan er trouwens ook voor kiezen om een .ISO-file
te downloaden, die je dan op DVD kunt branden en installeren.
Bij het installeren krijg je een scherm Installation
Options
Je hebt maar 3 dingen nodig:
Application Verifier
(daarmee kan je uitvissen hoe een programma zich misdraagt);Debugging Tools for Windows
(om uit te zoeken waarom een programma hangt, waarom de PC crasht, etc.);Windows Performance Toolkit
(kan je bv. helpen uit te vinden waarom je PC traag start).
Je moet ze alleen kiezen uit de onderste categorie,
De vinkjes daarboven kan je allemaal weghalen, en alleen de 4 voor de pakketten
in deze categorie kan je plaatsen of laten staan.
Na afloop van de installatie zitten de bestanden in de map
\Program Files\Microsoft SDK's\Windows\v7.1\Redist
Er zitten 4 submappen in die map, en die kopiëer je naar je eigen
Tools-map.
Je moet van de Debugging Tools for Windows zowel
dbg_amd64.msi als
dbg_x86.msi installeren, maar klik in beide gevallen
op (Custom) (dus niet de standaard installatie).
Zet de x86-bestanden in de map C:\Debuggers_x86 en
de x64-bestanden in de map C:\Debuggers
Daarna kopiëer je ook deze beide mappen naar je eigen map.
Zowel deze debuggers als 1 van de andere tools kunnen nl. vanaf elke machine
draaien als je ze eenmaal op een USB-stick hebt gezet.
Problemen
A problem occurred while installing selected Windows SDK components.
Installation of the "Microsoft Windows SDK for Windows 7" product has reported
the following error: Please refer to Samples\Setup\HTML\ConfigDetails.htm
document for further information.
Please attempt to resolve the problem and then start Windows SDK setup again.
If you continue to have problems with this issue, please visit the SDK team
support page at http://go.microsoft.com/fwlink/?LinkId=130245.
Click the View Log button to review the installation log.
To exit, click Finish.
Symbols (nodig om herkenbare namen te krijgen)
In een programma zitten allemaal subprogramma's (procedures en functies),
variabelen, constanten, etc.
Tijdens het vertalen van het programma naar een uitvoerbare versie
(.EXE) worden die namen omgezet in nummers.
Je ziet dan bv. in de debugger msvcrt.dll!0x73045812,
iets waar je niet veel mee opschiet behalve dat je weet in welke module het
probleem optrad.
Als er bij het vertalen symbols voor het programma zijn gemaakt, *en* je hebt
er toegang toe (voor Windows is dat in ruime mate het geval, maar bv. ook voor
Firefox), dan komt er achter het uitroepteken een
leesbare naam te staan.
Symbol files hebben de extensie .PDB (program
database).
Je kan de locatie van de symbols in een individueel programma aangeven (zie
mijn pagina over dump analyse),
maar je kan via een batch-bestandje het ook automatisch voor het hele systeem
doen.
Je kan het volgende commando geven in een batch-bestand om de symbol server
(de computer waar je de symbols kunt halen) in te stellen.
setx /m _NT_SYMBOL_PATH SRV*C:\Tools\Sym*
\\Andere_computer\Symbol_map*http://microsoft.com/download/symbols
Je geeft ook aan waar ze worden opgeslagen,
(C:\Tools\Sym) zodat ze niet steeds opnieuw
van het Internet hoeven worden opgehaald.
En je kan meerdere symbol servers opgeven (steeds gescheiden door een asterisk),
(bv. \\Andere_computer\Symbol_map,
zodat als de 1e niet lukt, de 2e geprobeerd wordt.
Als laatste wordt dan op Internet gekeken.
In het batch-bestandje kan je ook nog een andere regel opnemen, die later voor
1 van de andere tools van belang is:
setx /m _NT_SYMCACHE_PATH C:\Tools\SymCache
Als je problemen hebt met symbols voer je een ander batch-bestand uit.
Je zet daarmee de logging aan, maar dat wil je niet continu.
Je zet daarin de volgende regels:
setx DBGHELP_DBGOUT 1
setx DBGHELP_LOG C:\Tools\DbgLog\DbgHelpLog.txt
Je moet er natuurlijk wel van tevoren voor zorgen dat er in de map
Tools (of hoe je hem maar genoemd hebt) een submap
bestaat met de naam DbgLog
God mode
In 2010 heeft iemand van CNet ontdekt dat je via een truc een map kan
maken met shortcuts naar werkelijk alle belangrijke Windows-componenten
waarmee je je systeem kan beheren, van Systeemherstel
tot Windows Defender (waardeloos programma, by the way)
en de firewall, van backup tot datum en tijd, van
Apparaatbeheer tot mapopties, enz., enz.
Nou is dat precies wat ik er op tegen heb.
Veel van die componenten zijn ook te bereiken door wat namen uit je hoofd te
leren.
Je klikt op , tikt in
firewall.cpl gevolgd door
Enter, en de firewall-instellingen verschijnen
voor je neus.
Zie mijn pagina over dat onderwerp.
In God mode krijg je een lijst van zo'n 300 links, waarin je de goede moet
zien te zoeken.
Lekker handig.
Maar goed, ieder zijn meug.
En voor diegenen die er wel dol op zijn volgt hier een beschrijving van hoe
je dit voor elkaar kunt krijgen.
Klik met rechts op het bureaublad (desktop), en klik op
.
Tik dan in (of slimmer, knip en plak):
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
(dat is dus de naam van de map).
Geef Enter, doe nog een keer
Enter of dubbelklik op het nieuwe icoon om in
de map te komen, et voila.
Zoomit
Eigenlijk is dit voor de meeste mensen helemaal geen essentiele tool, maar
hij is wel interessant voor het maken van illustratieve plaatjes of het
interactief dingen via het scherm uitleggen aan mensen.
Met deze tool van System Internals
kan je namelijk inzoomen op je scherm, rode (of andere gekleurde) lijnen
trekken (bv. een cirkel om iets belangrijks) en teksten in je plaatjes zetten.
Ik heb alle toetsen waarmee je Zoomit bedient in
een tabel beschreven, maar hieronder eerst nog wat
extra uitleg over het tekenen van ellipsen e.d., en
over probleempjes waar je tegenaan kan lopen.
Cirkels, ellipsen en tekst aan een plaatje toevoegen
Ik had nogal moeite om dit aspect te begrijpen, dus hier wat extra uitleg.
Met (default) Ctrl+2 schakel je over naar tekenmode.
Als je daarna de muis ingedrukt houdt en beweegt over het plaatje, kan je
willekeurige lijnen tekenen.
Ellips of rechthoek
Als je een ellips of rechthoek wilt maken druk je eerst
Tab of Ctrl in, en daarna beweeg je de
muispointer met muis ingedrukt van begin- naar eindpunt.
Hoe weet je wat het beginpunt moet zijn?
Met een rechthoek is het makkelijk.
Waar je begint is een hoekpunt van de rechthoek.
Als je vanaf het begin naar rechts en beneden beweegt, wordt het de
linkerbovenhoek.
Met een ellips is het eigenlijk net zo simpel, alleen moet je een rechthoek
om de ellips heen denken.
Problemen
Ik heb het idee dat bv. de toets om over te schakelen naar tekenmode
(Ctrl+2) niet werkt als het venster van
Zoomit open staat.
Als je een plaatje bewerkt hebt in tekenmodus, en je (voordat je het
opslaat) andere toetsen gebruikt dan functionele (zoals bv.
Alt+Tab om over te schakelen naar een ander venster),
dan ben je de wijzigingen kwijt (works as designed, maar moet je wel
even rekening mee houden).
Tabel met toetsen
Omdat ik zelf moeite heb alle toetsen te onthouden volgt hier een tabel:
| Ctrl+1
|
Zoom mode aanzetten (maar je kan de key ook veranderen)
|
Beëindigen met Esc of rechter muisklik
|
| Ctrl+2
|
Drawing mode zonder zoom aanzetten (maar je kan de key ook veranderen)
|
Beëindigen met rechter muisklik
|
| Ctrl+Z
|
Drawing mode: verwijder de laatste entry
|
|
| e
|
Drawing mode: verwijder alles
|
|
| e
|
Drawing mode: zet de cursor in het centrum
|
|
| r
|
Drawing mode: verander kleur in rood
|
|
| g
|
Drawing mode: verander kleur in groen
|
|
| b
|
Drawing mode: verander kleur in blauw
|
|
| o
|
Drawing mode: verander kleur in oranje
|
|
| y
|
Drawing mode: verander kleur in geel
|
|
| p
|
Drawing mode: verander kleur in roze
|
|
| Shift ingedrukt houden
|
Drawing mode: rechte lijn
|
|
| Ctrl ingedrukt houden
|
Drawing mode: teken vierkant
|
|
| Tab ingedrukt houden
|
Drawing mode: teken ellips
|
|
| Shift+Ctrl ingedrukt houden
|
Drawing mode: teken pijl
|
|
| w
|
Drawing mode: maak van het scherm een wit tekenvlak
|
|
| b
|
Drawing mode: maak van het scherm een zwart tekenvlak
|
|
| t
|
Drawing mode: intikken van tekst
|
Beëindigen met Esc of linkermuisklik
|
| Ctrl+3
|
Begin timer mode
|
Beëindigen met Esc
|
| Muiswiel (naar boven of beneden)
|
Typing mode: vergroten of verkleinen fontgrootte
|
|
| Pijltjes (naar boven of beneden)
|
Typing mode: vergroten of verkleinen fontgrootte
|
|
| Ctrl+C
|
Kopiëer een ge-zoomed scherm
|
|
| Ctrl+S
|
Sla een ge-zoomed scherm op
|
|
| Ctrl+4 (maar je kan de key ook veranderen)
|
Ga in of uit LiveZoom mode
|
In LiveZoom mode worden scherm updates getoond terwijl je ge-zoomed bent.
In deze mode moet je Ctrl+Up en Ctrl+Down gebruiken om het zoomniveau te
veranderen.
|
Procdump
Rammap
Er is kennis van Windows internals nodig om deze tool goed te kunnen begrijpen.
De tool geeft je informatie over physical memory, i.t.t.
Vmmap, dat je alles over virtual memory vertelt.
Vmmap
Er is kennis van Windows internals nodig om deze tool goed te kunnen begrijpen.
De tool geeft je informatie over virtual memory, i.t.t.
Rammap, dat je alles over physical memory vertelt.
Links
- Use Process Monitor To Optimize The Windows Boot Process
- Uitleg over hoe je het starten van Windows kunt monitoren, en hoe
je de overweldigende hoeveelheid uitvoer van de tool
Process Monitor
kunt beteugelen.
- Using Sysinternals Process Monitor to troubleshoot problems
in Windows
- Een gedegen uitleg over de mogelijkheden van
Process Monitor, en
hoe je de tool kan gebruiken om problemen op te lossen.
- Ask the Performance Team Blog -
Who’s That Hiding in my Windows?
- Uitgebreide blog post over
Autoruns.
-
-