Windows-Troubleshooting mit der Sysinternals-Suite
Praktische Helfer
Veröffentlicht in Ausgabe 09/2021 - SCHWERPUNKT
Entwickelt und gepflegt werden die Sysinternals-Tools von Mark Russinovich. Die jeweils aktuelle Fassung der Suite steht unter [1] kostenlos zum Download bereit und die Programme lassen sich im Anschluss einfach starten.
Doch selbst ein Download ist nicht zwingend nötig, denn Microsoft stellt unter [2] die Sysinternals-Tools in einer Live-Version zur Verfügung. "Sysinternals Live" hat auch den Vorteil, dass Sie immer die aktuelle Version verwenden. Das Öffnen der Tools erfolgt durch Aufruf von "https://live.sysinternals.com/<toolname>" oder "\\live. sysinternals.com\tools\<toolname>". Um zum Beispiel den Process Explorer über den Browser zu starten, geben Sie in der Adressliste"https://live.sysinternals.com/procexp64.exe" ein.
Access Enum und Active Directory Explorer
Wir beginnen unseren Ausflug in die Sysinternals-Welt mit Access Enum. Es zeigt die Dateisystem- und Registry-Berechtigungen sehr übersichtlich an.
Entwickelt und gepflegt werden die Sysinternals-Tools von Mark Russinovich. Die jeweils aktuelle Fassung der Suite steht unter [1] kostenlos zum Download bereit und die Programme lassen sich im Anschluss einfach starten.
Doch selbst ein Download ist nicht zwingend nötig, denn Microsoft stellt unter [2] die Sysinternals-Tools in einer Live-Version zur Verfügung. "Sysinternals Live" hat auch den Vorteil, dass Sie immer die aktuelle Version verwenden. Das Öffnen der Tools erfolgt durch Aufruf von "https://live.sysinternals.com/<toolname>" oder "\\live. sysinternals.com\tools\<toolname>". Um zum Beispiel den Process Explorer über den Browser zu starten, geben Sie in der Adressliste"https://live.sysinternals.com/procexp64.exe" ein.
Access Enum und Active Directory Explorer
Wir beginnen unseren Ausflug in die Sysinternals-Welt mit Access Enum. Es zeigt die Dateisystem- und Registry-Berechtigungen sehr übersichtlich an.
Der Active Directory Explorer ist hingegen ein erweiterter Active-Directory-Viewer und -Editor, mit dem Sie nicht nur AD-Objekte anzeigen und editieren, sondern auch Eigenschaften von Objekten ändern und Sicherheitseigenschaften setzen. Der Active Directory Explorer ist auch in der Lage, Snapshots der Verzeichnisdatenbank zu erstellen und die Inhalte anzuzeigen sowie den Snapshot mit der Live-AD-Datenbank zu vergleichen und Änderungen festzustellen.
Autoruns und BgInfo
Autoruns ist in der Lage, alle Autostart-Lokationen eines Windows-PC anzuzeigen und geht dabei zum Beispiel über die Autostart-Anzeige des Task-Managers in Windows 10 hinaus. Autoruns ist auch in der Lage, alle im Autostart markierten Programme, die von Microsoft digital signiert sind, zu verbergen. Autoruns steht in einer GUI-Variante und als Kommandozeilen-Programm namens Autorunsc zur Verfügung.
BgInfo, auch Background Info genannt, ist ein hilfreiches Tool, das wichtige Systeminformationen wie Computername, IP-Adresse, RAM, Betriebssystem und Netzwerkinformationen auf dem System im Hintergrund oder auf dem Desktop anzeigt. Administratoren nutzen BgInfo gerne für ihre Server, um einen schnellen Überblick über das System zu erhalten.
Disk2VHD
Disk2VHD ist ein Tool, mit dem Sie von einem Windows-System ein 1-zu-1-Abbild erstellen können und dieses in eine VHD- oder VHDX-Datei schreiben. Bei dem VHD/VHDX-Format handelt es sich um das Format für virtuelle Festplatten von VMs der Microsoft-Hyper-V-Plattform. Sie können Disk2VHD auch mit dem Volume-Shadow-Copy-Dienst verwenden, um eine konsistente Kopie des zu klonenden Systems zu erstellen.
Disk2VHD bietet zusätzlich eine Kommandozeilenoption. Das erstellte Abbild lässt sich dann zum Beispiel für Testzwecke als virtuelle Maschine auf der Hyper-V-Plattform verwenden.
Process Explorer
Ein ebenfalls beliebtes Werkzeug ist der Process Explorer [3]. Dieser ermöglicht die detaillierte Anzeige von ausgeführten Programmen, deren verwendeter Subprozesse sowie der genutzten Speicherorte und der Orte im Dateisystem, auf die das Programm gerade zugreift. Der Process Explorer lässt sich in zwei Modi betreiben: im Handle-Mode und im DLL-Mode. Im Handle-Mode zeigt der Process Explorer alle geöffneten Handles an, die dem ausgewählten Prozess zugeordnet sind. Besonders hilfreich ist der DLL-Mode des Process Explorer. Darin zeigt die Software alle verwendeten DLLs und im Arbeitsspeicher befindlichen Prozesse an, die von der Anwendung verwendet werden.
Der Sysinternals Process Explorer steht – wie viele andere Tools der Sysinternals-Suite – in zwei Versionen zur Verfügung: Procexp.exe für 32-Bit-Betriebssysteme und Procexp64.exe für 64- Bit-Betriebssysteme.
Nach dem Start der Anwendung sehen Sie auf den ersten Blick die CPU-Auslastung, die Process-ID (PID), eine Beschreibung, den Namen des Herstellers (wenn verfügbar), VirusTotal-Ergebnisse und auf einem Windows-10-System, ob der Control Flow Guard (CFP) aktiv ist. Im Kontextmenü der ausgeführten Anwendung beziehungsweise Prozesses können Sie jetzt zum Beispiel deren Ausführungspriorität verändern, den Prozess beenden (killen) und wenn gewünscht einen VirusTotal-Check auf Malware durchführen.
Besonders hilfreich sind die Detailinformationen der Anwendung. Sie finden diese, indem Sie im Kontextmenü der Anwendung auf "Properties" klicken. In den verschiedenen Registerkarten erhalten Sie dann weiterführende Informationen. Die Registerkarte "TCP/ IP" zum Beispiel zeigt die Netzwerkverbindungen der Anwendung an. Auf der Registerkarte "Services" sehen Sie hingegen alle registrierten Dienste dieses Prozesses.
Process Monitor
Beim Process Monitor handelt es sich um ein sehr leistungsfähiges Tool zur Anzeige von Prozessaktivitäten und deren Zugriffe auf das Dateisystem und der Registry. Der Process Monitor vereint die beiden altbekannten Sysinternals-Tools Filemon und Regmon. Der Process Monitor stellt dabei umfangreiche Filtermöglichkeiten zur Verfügung. Sie können zum Beispiel nach einem Prozess filtern, um nur Aktivitäten der Anwendung anzuzeigen, die Probleme bereitet. Process Monitor zeigt dann nur Aktivitäten dieses Prozesses an, was die Fehleranalyse erheblich beschleunigt.
PsTools
Bei den PsTools [4] handelt es sich um eine unabhängig von der Sysinternals-Suite herunterladbare Sammlung von mächtigen Kommandozeilen-Tools. Die PsTools sind aber ebenfalls Bestandteil der Sysinternals-Suite. Die einzelnen Werkzeuge finden Sie in der Tabelle "PsTools" aufgelistet.
PsTools |
|
Tool |
Kurzbeschreibung |
PsExec |
Remote-Ausführung von Programmen. |
PsFile |
Anzeige und Beenden geöffneter Dateien. |
PsGetsid |
Ermittlung des Security Identifier (SID). |
PsInfo |
Anzeige von Rechnerinformationen. |
PsKill |
Terminieren von Prozessen. |
PsList |
Anzeige von Prozessen. |
PsLoggedon |
Anzeige von angemeldeten Benutzern. |
PsLoglist |
Erstellt einen Dump von Ereignisprotokollen. |
PsPasswd |
Ändert Kennwörter auf lokalen und Remote-Systemen. |
PsPing |
TCP-Ping, UDP/TCP-Latenz und UDP/TCP-Bandbreitenmessung. |
PsService |
Verwaltet lokale und entfernte Windows-Dienste. |
PsShutdown |
Herunterfahren oder Neustart von lokalen und Remote-Systemen. |
PsSuspend |
Anhalten und Fortsetzen von Diensten auf lokalen und Remote-Systemen. |
PsExec
Bei PsExec handelt es sich um ein mächtiges Kommandozeilen-Werkzeug, mit dessen Hilfe Sie Befehle auf entfernten Rechnern ausführen. Ähnlich wie beim PowerShell-Remoting ist die Fülle an Möglichkeiten fast unbegrenzt. Angefangen mit einem einfachen IPConfig-Befehl bis hin zu komplexen WMI-Abfragen mit WMIC.EXE sind Ihnen fast keine Grenzen gesetzt. Mit dem Befehl
psexec -i \\w10-ee-02.win2012.server ipconfig /all
ermitteln Sie die IP-Konfiguration auf dem System "W10-EE-02" und mit
psexec -i -d -s c:\windows\regedit.exe
führen Sie den Registrierungs-Editor im Systemkontext aus und lesen zum Beispiel die SAM-Einstellungen (Security Accounts Manager) aus der lokalen Registry aus.
PsKill und PsList
Mit PsKill ist es nicht nur möglich, Prozesse auf einem lokalen System, sondern auch auf entfernten Systemen zu beenden. Auf dem Zielsystem muss hierfür keine Software installiert sein. Der Befehl
pskill -t \\W10-EE-02.win2012.server 6912
zum Beispiel beendet den Prozess "6912" auf dem System "W10-EE-02". Der Befehl
pskill -t \\W10-EE-02.win2012.server notepad
wiederum beendet den Prozess "Notepad.exe".
PsList listet übersichtlich alle laufenden Prozesse auf einem lokalen oder entfernten System auf und zeigt noch weitere Informationen zu den jeweiligen Prozessen an. Eine Übersicht über alle verfügbaren Parameter erhalten sie durch Eingabe von
PSList /?. Der BefehlPSList -d 2752
zeigt Detailinformationen zu der Process ID (PID) 2752 an. Der Parameter "-d" listet die Thread-Details auf.
RamMap
Wenn auch der Task Manager in jeder Windows-Version weiterentwickelt wird, um zum Beispiel einen Überblick über die RAM-Nutzung der einzelnen Prozesse zu verschaffen, besteht bei Administratoren immer wieder der Bedarf nach weiteren Detailinformationen der Speichernutzung. Hier schafft RamMap Abhilfe. Es bietet noch tiefere Einsichten in die Arbeitsspeicherauslastung und zeigt zum Beispiel die RAM-Verwendung einzelner Dateien an sowie detaillierte Informationen über das Paging, sprich der Auslagerung von Arbeitsspeicher in die Auslagerungsdatei.
SDelete und Streams
SDelete ist die Anwendung, um Dateien und Verzeichnisse sicher zu löschen und so zu verhindern, dass Angreifer mit entsprechenden Methoden Dateien wiederherstellen können. Der Befehl
sdelete -s -p 10 C:\_IT
löscht alle Dateien in diesem Verzeichnis mit zehn Durchgängen.
Streams zeigt derweil alternative NTFS-Datenströme (ADS) an. NTFS-Streams erlauben es einer Datei, weitere Datenströme in Form von Dateien hinzuzufügen. Klassische Tools wie CMD.EXE oder der Win-dows Explorer zeigen diese Datenströme aber nicht an. Um einen alternativen Datenstrom zu erzeugen, können Sie zum Beispiel den Befehl echo "Hallo IT Administrator" > AAAAAA:Versteckt verwenden. Dieser erzeugt eine im Dateisystem sichtbare Datei mit dem Namen "AAAAAA" und einen alternativen Datenstrom mit dem Namen "Versteckt" und dem Textinhalt "Hallo IT Administrator".
TCPView und TCPwcon
Bei TCPView [5] handelt es sich um ein Werkzeug zur detaillierten Anzeige der Verbindungen aller ausgeführten Windows-Anwendungen und -Prozesse. TCPView zeigt TCP- und UDP-Verbindungen sehr übersichtlich und grafisch aufbereitet an und bietet zahlreiche Filtermöglichkeiten. So stehen Ihnen dann Informationen über die Zieladresse und -port, den Status und den Umfang an gesendeten und empfangenen Paketen und Bytes/s zur Verfügung.
Wenn Sie mit der rechten Maustaste auf einen Eintrag klicken, können Sie hier den Prozess beenden und sich die Eigenschaften des Prozesses anzeigen lassen. Bei Remote-Adressen, die durch die DNS-Namensauflösung aufgelöst wurden, können Sie auch eine Whois-Anfrage starten, die dann Informationen wie dem Eigentümer zu der Domäne anzeigt. TCPView unterstützt außerdem Color-Highlighting und stellt TCP/UDP-Verbindungen farblich unterschiedlich dar. Neu aufgebaute Verbindungen sind grün hinterlegt, gerade geschlossene Verbindungen in Rot und solche, deren Status sich geändert hat, in Gelb dargestellt.
Den Abschluss unseres Beitrags bildet ein sehr einfaches, aber ebenfalls hilfreiches Tool. TCPwcon zeigt Ihnen die TCP/UDP-Verbindungen vom lokalen System zu entfernten Systemen in einer einfachen grafischen Oberfläche an und verschafft so unkompliziert einen Überblick.
Fazit
Auch in Zeiten von Cloud Computing gehören die Sysinternals-Tools zu den Pflichtwerkzeugen für Administratoren. Mit den Werkzeugen können auch die kompliziertesten Probleme analysiert und behoben werden. Auch wenn sich die Entwickler der Sysinternals-Suite reglich Mühe gegeben haben, die Bedienung so anwenderfreundlich wie möglich zu gestalten, ist es unabdingbar, sich mit den Funktionen der Anwendungen und noch viel wichtiger mit den Internas von Windows zu beschäftigen. Es bleibt zu hoffen, dass die Tools auch in Zukunft weiterentwickelt werden und kostenlos zur Verfügung stehen.
(dr)
Link-Codes
[1] Sysinternals-Suite: https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-suite
[2] Sysinternals Live: https://live.sysinternals.com/
[3] Process Explorer: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer