Handige systeemtools van Sysinternals voor systeembeheer en troubleshooting

Deze pagina gaat over de handige systeemtools van de door Microsoft overgenomen website Sysinternals, ontwikkeld door Mark Russinovich en Bryce Cogswell. Een groot aantal van deze tools zijn zeer waardevol bij het beheren van de PC en bij het oplossen van computerproblemen. Belangrijk dus om goed over de mogelijkheden van de Sysinternals tools geïnformeerd te zijn! Er zijn een groot aantal tools uitgebracht, de bekendste zijn AutoRuns, Process Monitor en Process Explorer. Op de website van Microsoft (https://technet.microsoft.com/en-us/sysinternals) staat een overzicht van alle tools, hier wordt alleen aandacht besteed aan de meest relevante. Beoordeel na het lezen van deze paragraaf zelf welke tools interessant genoeg zijn om te gaan gebruiken!

LET OP: De meeste Sysinternals-tools moeten met administratorrechten worden opgestart (door met rechts op de tool te klikken en te kiezen voor Als administrator uitvoeren). In sommige gevallen kan het tevens verstandig zijn Gebruikersaccountbeheer tijdelijk uit te schakelen.

DOWNLOAD VAN DE SYSINTERNALS SUITE

De tools van Sysinternals kunnen apart worden gedownload, of in één keer met de Sysinternals Suite (download: https://technet.microsoft.com/nl-nl/sysinternals/bb842062(en-us).aspx). Download het ZIP-bestand en pak het uit met de wizard door te dubbelklikken op een van de bestanden in het ZIP-bestand. Sla de uitgepakte bestanden op in een nieuw aangemaakte map op de gewenste locatie. Voor nagenoeg elke tool moet apart akkoord worden gegaan met de gebruiksvoorwaarden.

TIP: Bent u een fervent gebruiker van de Sysinternals-tools, gebruik dan ook het Windows System Control Center (download: www.kls-soft.com/wscc/). Vanuit dit programma zijn de Sysinternals-tools (inclusief de password recovery tools van NirSoft) eenvoudig op te starten en up-to-date te houden!


File and Disk Utilities

Junction: aanmaken van symbolische links

Junction (vergelijkbaar met het MKLINK-commando in Windows Vista/7) kan omleidingen naar mappen maken, zogenaamde symbolische links. Een symbolische link laat programma’s doen voorkomen dat de gelinkte map nog steeds op de originele plek staat terwijl deze in werkelijkheid naar een andere locatie is verplaatst. Dit is bijzonder handig wanneer de verwijzing naar een map niet gewijzigd kan worden, maar toch op een andere locatie moet komen te staan (bijvoorbeeld bij het verplaatsen van de RSS-feeds van Internet Explorer).

Meer informatie over Junction (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb896768(en-us).aspx

DiskMon: monitoren activiteiten interne schijf

DiskMon geeft de lees- en schijfactiviteiten van een interne schijf weer. Via Options, Minimize to Tray Disk Light wordt de tool geminimaliseerd tot het systeemvak rechts onderin. De Tray Disk Light laat continu zien of er lees- (groen) of schrijfactiviteiten (rood) zijn. Het aantal keren dat de interne schijf wordt benaderd, is verbazingwekkend.

Meer informatie over DiskMon (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb896646(en-us).aspx

DiskView: analyseren van de bestandsindeling

DiskView achterhaalt waar een bestand exact is opgeslagen. Kies in DiskView links onderin het scherm de te doorzoeken partitie, klik op de knop Refresh en gebruik vervolgens de zoomfunctie om in te zoomen op de bestandsindeling. Door te bladeren naar een bestand (de highlight-functie naast de knop Show Next) kan een bestand naar keuze worden weergegeven. Deze functie is op zich niet zo bijzonder, maar de mogelijkheid tot exporteren van de begin- en eindsector van specifieke bestanden kan zeer waardevol zijn bij het herstellen van bestanden met een recovery-programma.

Bestandsindeling analyseren met Sysinternals DiskView

Meer informatie over DiskView (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb896650(en-us).aspx

PendMoves/MoveFile: verwijderen bezette bestanden

Het gebeurt wel eens dat een bestand niet kan worden verwijderd omdat deze wordt vastgehouden door een ander proces. Met behulp van de tools PendMoves en MoveFile kan bij een herstart van Windows het bestand alsnog worden verwijderd of verplaatst. Met MoveFile kan de verplaatsing of verwijdering van een bestand bij de volgende herstart worden ingepland en met PendMoves kunnen de geplande acties worden weergegeven. PendMoves en MoveFile moeten wel in een opdrachtvenster (de Command Console; geef in het uitvoerveld van het startmenu het commando CMD) worden uitgevoerd.

Meer informatie over PendMoves en MoveFile (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897556(en-us).aspx

TIP: Het verwijderen, verplaatsen en hernoemen van bezette bestanden gaat makkelijker met de tools FileASSASSIN (download: www.malwarebytes.org/fileassassin), IOBit Unlocker (download: www.iobit.com/nl/iobit-unlocker.php), UnLock IT (download: www.emcosoftware.com/unlock-it) en MoveOnBoot (download: www.emcosoftware.com/move-on-boot).

Networking Utilities

PsFile: opsporen van openstaande bestanden

Worden er in het netwerk regelmatig bestanden gedeeld, dan wordt tijdens het afsluiten van Windows wellicht wel eens de waarschuwing getoond dat er nog andere gebruikers actief zijn die bepaalde bestanden in gebruik hebben. Het negeren van deze waarschuwing kan de nog openstaande bestanden beschadigen, terwijl de nog ingelogde gebruikers een foutmelding krijgen. De tool PsFile achterhaalt welke bestanden nog openstaan en wie ze in gebruik hebben.

Meer informatie over PsFile (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897552(en-us).aspx

ShareEnum: achterhalen gedeelde mappen in een netwerk

Binnen een netwerk kan het overzicht over de gedeelde mappen snel verloren raken, waardoor de netwerkbeveiliging kwetsbaar wordt. Met de tool ShareEnum kan op eenvoudige wijze worden achterhaald tot welke gedeelde mappen de gebruikers toegang hebben, en zo een eventueel beveiligingslek opsporen.

Meer informatie over ShareEnum (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897442(en-us).aspx

TCPView: realtime volgen TCP- en UDP-verkeer

TCPView maakt het mogelijk het TCP- en UDP-verkeer realtime te volgen. Het netwerk- en internetverkeer wordt per proces uitgesplitst zodat het eenvoudig te achterhalen is welke IP-adressen worden aangesproken. Deze tool is dus erg handig bij het zoeken naar de oorzaak van een trage internetverbinding! TCPView vertaalt de IP-adressen direct naar de bijbehorende domeinnaam (deze optie wordt in- of uitgeschakeld met behulp van het icoontje op de werkbalk). Via View, Update Speed kan een extra vertraging worden ingesteld zodat de getoonde gegevens wat makkelijker te volgen zijn.

Meer informatie over TCPView (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897437(en-us).aspx

Process Utilities

AutoRuns: onderzoeken en versnellen opstartproces

AutoRuns (vergelijkbaar met MSCONFIG van Windows) is de meest geavanceerde tool voor het analyseren van het opstartproces. Met deze tool kunnen onderdelen zoals de opstartitems, services, drivers, explorer shell extensies, toolbars en browser helper objects worden in- of uitgeschakeld. Het is verbazingwekkend wat er allemaal wordt opgestart en hoeveel systeembronnen dat in beslag neemt. Door het uitschakelen van de niet noodzakelijke onderdelen is snelheidswinst te behalen bij het opstarten en worden meer systeembronnen vrijgehouden voor andere toepassingen. AutoRuns heeft niet alleen meer mogelijkheden dan vergelijkbare tools, maar geeft ook meer informatie over elk op te starten systeemonderdeel (zoals de locatie waar ze zijn opgeslagen).

Opstartproces versnellen met Sysinternals AutoRuns

Meer informatie over AutoRuns (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb963902(en-us).aspx

Process Monitor: realtime monitoren systeemwijzigingen

Met Process Monitor kan realtime toezicht worden gehouden op wijzigingen in bestanden, processen en het register. Een ideale tool om de activiteiten van software te analyseren! In de menubalk kunnen de opties voor het monitoren van bestanden, processen en het register afzonderlijk worden in- of uitgeschakeld.

Meer informatie over Process Monitor (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb896645(en-us).aspx

Process Explorer: alternatief voor Windows Taakbeheer

Windows Taakbeheer (CTRL-SHIFT-ESC) toont beperkte informatie over de lopende processen. De tool Process Explorer is een soortgelijk programma, maar laat veel meer informatie zien. Hierdoor is het eenvoudiger te achterhalen waarom de computer of een proces "hangt". Klik met rechts op een proces en kies voor Search Online om te onderzoeken waar een proces voor dient. Met de functie View, Lower Pane View, Handles is per proces te achterhalen welke bestanden openstaan. Eventueel kan in Windows Taakbeheer worden vervangen door Process Explorer (via Options, Replace Taskbar Manager; nogmaals om het weer ongedaan te maken).

Sysinternals Process Explorer

Meer informatie over Process Explorer (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb896653(en-us).aspx

Handle en ListDLLs: geladen processen/DLL's analyseren

De tool Handle is behulpzaam bij het achterhalen van de processen die bestanden of mappen bezet houden, de tool ListDLLs geeft een overzicht van de openstaande DLL-bestanden. Wordt er liever niet met de Command Console gewerkt, dan kan beter gebruik worden gemaakt van het hiervoor besproken programma Process Explorer, waarin beide tools zijn verwerkt.

Meer informatie over Handle en ListDLLs (inclusief downloadlinks):
https://technet.microsoft.com/nl-nl/sysinternals/bb896655(en-us).aspx
https://technet.microsoft.com/nl-nl/sysinternals/bb896656(en-us).aspx

Security Utilities

RootkitRevealer: het opsporen van rootkits

Rootkits zijn verborgen bestanden met mogelijk een kwaadaardig karakter. Doordat rootkits de eigenschap hebben zich te verbergen, zijn ze voor een ‘normale’ virusscanner zeer moeilijk te traceren. Met de tool RootkitRevealer kunnen in Windows XP verborgen rootkits worden opgespoord. Lees vóór gebruik de handleiding eerst zorgvuldig door!

RootkitRevealer van Sysinternals

Meer informatie over RootkitRevealer (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897445(en-us).aspx

Miscellaneous Utilities (bijzondere tools)

BgInfo: weergave systeemgegevens op het bureaublad

Met behulp van de tool BgInfo wordt op het bureaublad systeeminformatie weergegeven, zoals de software-, hardware- en netwerkgerelateerde gegevens. Het programma maakt een kopie van het bureaublad en verwerkt hierin de betreffende systeeminformatie. De bureaubladwijziging wordt ongedaan gemaakt door een nieuw bureaublad uit te kiezen.

Meer informatie over BgInfo (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897557

BlueScreen Screen Saver: simulatie van een BSOD

Toe aan een verzetje? Test dan het probleemoplossende vermogen van collega's eens uit met de tool BlueScreen Screen Saver ;-). Wanneer deze screensaver draait en met de bekende blauwe schermen op de proppen komt (BSOD: Blue Screen Of Death), lijkt het namelijk net of het systeem vastloopt. Ook de simulatie van een reboot met een bewegend 'nightrider'-achtig balkje ontbreekt niet. Menig IT-specialist zal erin tuinen!

BlueScreen Screen Saver installeren? Klik met rechts op het bestand Sysinternals BlueScreen.scr en kies Installeren. Klik vervolgens met rechts op een leeg gedeelte van het bureaublad en kies Eigenschappen. Op het tabblad Schermbeveiliging kan vervolgens de screensaver worden uitgekozen en naar wens worden ingesteld. Hanteer een korte wachttijd, maar niet te kort...

Meer informatie over BlueScreen (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897558(en-us).aspx

ZoomIT: inzoomen en tekenen op het scherm

ZoomIt is een handige tool om snel in te kunnen zoomen. Daarnaast is het mogelijk met de muis, vinger of ander aanwijsapparaat 'op het scherm' te tekenen.

Voorbeeld van Sysinternals ZoomIt

Meer informatie over ZoomIt (inclusief downloadlink):
https://technet.microsoft.com/nl-nl/sysinternals/bb897434(en-us).aspx

 
 
 
 

© 2001-2017 - - SchoonePC - Rotterdam - The Netherlands