Af Redaktionen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Uanset hvor godt du vedligeholder din pc, vil der dukke problemer op af og til. For eksempel kan harddisken begynde at drøne rundt, selv om du ikke kører nogen applikationer.
Måske kravler pc’en af sted i sneglefart uden nogen oplagt grund, eller også bliver den ustabil, låser eller går ned. Og du aner ikke hvorfor.
Et godt sted at begynde er Joblisten, der giver et hurtigt overblik over de processer, som kører på pc’en, og hvad de laver. Men vi synes, at der findes en endnu bedre mulighed.
Process Hacker er et gratis opensource-værktøj, der bugner af funktioner, som hjælper med at holde øje med pc’en, afdække problemer, opdage malware og mere endnu. Vi synes, at det fortjener en plads i enhver pc-brugers værktøjskasse. Her kan du se hvorfor.
Grundlæggende overvågning
Start Process Hacker, og du får umiddelbart en lang liste over alt, hvad der kører på dit system (nå, så næsten alt. Klik »Hacker | Show De-tails for All Processes«, hvis du vil have sikkerhedsrettigheder til fuld adgang).
Programmet kan vise op til 40 oplysninger for hver proces, men vi anbefaler, at du er lidt mere selektiv. Højreklik på en spalteoverskrift, klik »Select Columns« og vælg mindst en af disse: Name, PID (Process ID), Pvt Memory, Working Set, CPU, I/O Total, Username, Description, Handles, Start Time (Relative), CPU History og I/O History. Klik »OK«, når du er færdig.
Et kig på disse spalter kan alene være nok til at diagnosticere mange pc-problemer. I/O History bringer for eksempel en lille graf, der viser, hvordan hver proces bliver læst fra og skrevet til systemets enheder. Hvis der er megen harddisk- eller netaktivitet, kan disse grafer øjeblikke-lig udpege synderen.
Et kig på CPU History gør noget tilsvarende for processorbrug og viser, hvad det er, der har stillet store krav til cpu’en inden for de seneste minutter.
Spalten Pvt Memory (Private Memory) giver den bedste angivelse af, hvor meget ram et bestemt program bruger. Klik på overskriften for at sortere listen i stigende eller faldende rækkefølge. Det er en hurtig metode til at afdække, hvad der guffer det meste af dine kostbare ram i sig.
Spalten Handles viser, hvor mange Windowsobjekter en proces har åben (vinduer, filer, registreringsdatabasenøgler og så videre). Hvis tal-let bliver ved med at stige for en bestemt proces, kan der være tale om en ressourcelæk, hvor den griber nye handles men undlader at lukke de gamle.
Hvis det fortsætter, vil pc’en begynde at opføre sig underligt og til sidst gå ned. Det nøjagtige tidspunkt for nedbruddet varierer meget, afhængig af den pågældende Windowsversion og konfiguration, men vi ville lægge særlig mærke til alt, hvad der bruger over 20.000 handles og være meget mistænksom over for et samlet tal over 100.000.
Hvis du klikker på Network, får du alle de internetforbindelser, som dine processer har åbne i øjeblikket. Hvis din internetforbindelse virker langsom, skal du se efter forbindelser i en tilstand, der kaldes »Established« – det er dem, der er åbne.
Hvis du er bekymret for malware, skal du se efter forbindelser, der er »Listening« – det er programmer, der venter på at høre fra andre. Du skal dog ikke drage forhastede konklusioner. Masser af programmer har lyttende tcp/ip-forbindelser af helt legitime grunde.
Detektivarbejde
Process Hackers brugerflade kan have oplyst, at et bestemt program belaster for eksempel harddisk eller netværk, men hvis du ikke kender dets navn, vil du vide mere. Hvad er det for et program, og hvad laver det? Du kan bruge flere teknikker til at finde ud af mere.
Et oplagt sted at begynde er at lede efter programmets navn i Google. Det behøver du ikke at gøre manuelt; dobbeltklik blot på processen og vælg »Search Online«, så kommer der et browservindue med søgeresultater.
Hvis nettet ikke bidrager med noget brugbart, kan du højreklikke på procesnavnet, vælge »Properties« og klikke på »General«. Boksen »Image File Name« oplyser navnet på en mappe, hvor processen befinder sig.
Det kan måske give et tip om, hvad det drejer sig om. Vær dog opmærksom på, at malwareproducenter kan erstatte en eksekverbar fil eller gemme deres værk i Windowsmappen for at undgå mistanke.
Når du klikker på knappen »Handles« (stadig under »Properties«), får du en liste over alle filerne, registreringsdatabasenøgler og andre Windowsobjekter, som processen har åbne. Det kan ofte give en fornemmelse af, hvad den laver.
Knappen »Threads« kan være endnu mere oplysende. Den viser alle de tråde, som processen har åben (en tråd er et Windowsobjekt, der kører eksekverbar kode), og »Startadressen« vil ofte vise, hvilken funktion den bruger.
Selv hvis processen »iTunesHelper.exe« på vores test-pc for eksempel havde et anonymt navn, ville den omstændighed, at Threads-knappen viste QuickTime og »iTunesMobileDevice.dll« give en god anvisning på, hvor den hørte hjemme.
Hvis du går til »Process | Inspect Image File | Imports«, får du en liste over de Windowsfunktioner, som programmet kan bruge. Det kan være meget teknisk, men det er det ikke altid.
Hvis du for eksempel gør det med »iTunesHelper.exe«, er der reference til »WININIT.DLL« plus funktioner såsom »internetOpenA«, »internetConnectA« og »internetReadFile«.
Selv om du aldrig har arbejdet med Windowsprogrammering, er det indlysende, at disse funktioner har med internetkommunikation at gøre. Det er klart, at programmet måske prøver at gå online for at sende eller modtage information.
Du skal dog passe på, hvordan du tolker denne oplysning. Et program kan referere til WININIT.DLL-funktioner uden at bruge dem eller op-regne internetfunktioner uden nogen sinde at være online.
Et andet program refererer måske ikke til dem, men opretter interforbindelse ad en anden vej. Derfor giver »Import-listen« kun en begrænset forestilling om programmets formål.
Næste gang kigger vi på, hvordan du finder malwaren og gør noget ved det.
Start appletten Windows services (services.msc). Nu kan du se installerede tjenester, og du kan stoppe dem, der ikke er nødvendige. Du kan dog ikke slette en tjeneste her, og det er irriterende, hvis den er en rest fra en for længst afinstalleret applikation, og du ved, at den ikke er nødvendig.
Der er en god grund til, at Microsoft ikke har denne funktion med i sin brugerflade – den er farlig. Slet det forkerte, og Windows kan måske ikke længere boote - selv ikke i fejlsikret tilstand.
Men hvis du er 100 procent sikker på, at du ved, hvad du gør, kan du med Process Hacker nemt fjerne alle referencer til en tjeneste, som du ikke længere har brug for.
Klik blot på knappen »Services«, højreklik på den uønskede tjeneste og vælg »Stop«. Højreklik så på en igen og vælg »Delete«. Læs advarslen. Hvis du er helt sikker på, at det er i orden, klikker du »Delete« igen, og så er den væk for stedse.
[themepacific_accordion_section title="Fakta"]
Det skal du bruge…
[/themepacific_accordion_section][/themepacific_accordion]