Mit dem Process Explorer Zusammenhänge zwischen Handles, Threads und Registryeinträgen erkennen
Der Task Manager ist ein beliebtes Tool, wenn es darum geht, unerwünschte Threads aus dem System zu verbannen, die gerade benötigte Leistung des Rechners zu überprüfen, oder den Überblick über geöffnete Fenster zu behalten.
Leider stößt das kleine bei Windows mitgelieferte Programm jedoch spätestens dann an seine Grenzen, wenn Tasks wegen ihrer gemeinsamen Abhängigkeit nicht einfach so beendet werden können oder wenn fiese Registryeinträge die automatische Ausführung eines Threads anordnen, die man vielleicht aber gar nicht kennt und demnach auch nicht ausführen möchte. Besonders Viren und Trojaner können mit dem Standard-Tool nur schwer erkannt werden und das Säubern des Systems von Selbigen ist fast unmöglich, wenn die Speicherorte nicht bekannt sind.
Der Process Explorer
Der vom Microsoft Technet entwickelte Process Explorer wurde ursprünglich für Serveradmins herausgegeben, bei denen es auf die Optimierung von Systemen ankommt, deswegen zielen viele Funktionen des hilfreichen Tools darauf ab, dem Nutzer Zusammenhänge zwischen laufenden Diensten und der benötigten Leistung aufzuzeigen.
Die Übersichtlichkeit der Baumstruktur und die Möglichkeit, sich weitere Details anzeigen zu lassen, ist aber auch für Standardnutzer hilfreich und viele Windowsnutzer bezeichnen den Process Explorer als den besseren Taskmanager. Sogar für die Lokalisierung und Ausrottung von Viren und Trojanern kann das nur drei Megabyte große Tool verwendet werden, denn statt wie gewöhnlich nur einzelne Tasks zu beenden, kann über den Kill Tree-Befehl der komplette Baum eines Programms aus dem System katapultiert werden – und das funktioniert sogar bei eigentlich kritischen Systemkomponenten.
Installation und Verwendung
Um den Process Explorer zu verwenden, muss nur die vom Microsoft Technet bereitgestellte gepackte Datei in ein beliebiges Verzeichnis extrahiert werden. Das Programm funktioniert mit allen Windows-Versionen ab Windows XP und wird in zwei Versionen (32bit und 64bit) angeboten.
Während die 64-Bit-Version abwärtskompatibel zu 32-Bit-Tasks ist, können mit der 32-Bit-Version natürlich lediglich 32-Bit-Prozesse angezeigt werden. Das Programm verfügt über zwei Hauptfenster. Im oberen befindet sich die Auflistung aller Tasks und Programme, die bereits vom normalen Task-Manager bekannt sein dürfte, allerdings wird hier wesentlich detaillierter auch die Abhängigkeit der Prozesse zueinander angezeigt.
Systemprozesse werden in Rot dargestellt, vom Benutzer gestartete Programme sind Blau und neutrale Tasks verbleiben Weiß. Markiert man einen bestimmten Prozess, werden im unteren Fenster weitergehende Informationen angezeigt. Dies kann für Neulinge verwirrend sein, da hier auch Kernelevents und Befehle bezeichnet werden, für dessen Interpretation man eingehendes Wissen benötigt. Für jeden Nutzer ersichtlich, sind aber die Directories und Keys, also die Ordner in denen sich der Prozess und seine angeschlossenen DLLs befindet und die Registrierungsschlüssel, die für den Start zuständig sind.
