Table Of ContentWindows Sysinternals
®
Administrator’s Reference
Mark Russinovich
Aaron Margosis
PUBLISHED BY
Microsoft Press
A Division of Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052-6399
Copyright © 2011 by Aaron Margosis and Mark Russinovich
All rights reserved. No part of the contents of this book may be reproduced or transmitted in any form or by any
means without the written permission of the publisher.
Library of Congress Control Number: 2011931614
ISBN: 978-0-7356-5672-7
4 5 6 7 8 9 10 11 12 LSI 7 6 5 4 3 2
Printed and bound in the United States of America.
Microsoft Press books are available through booksellers and distributors worldwide. If you need support related
to this book, email Microsoft Press Book Support at mspinput@microsoft.com. Please tell us what you think of
this book at http://www.microsoft.com/learning/booksurvey.
Microsoft and the trademarks listed at http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx are trademarks of the Microsoft group of companies. All other marks are property of
their respective owners.
The example companies, organizations, products, domain names, email addresses, logos, people, places, and
events depicted herein are fictitious. No association with any real company, organization, product, domain name,
email address, logo, person, place, or event is intended or should be inferred.
This book expresses the author’s views and opinions. The information contained in this book is provided without
any express, statutory, or implied warranties. Neither the authors, Microsoft Corporation, nor its resellers, or
distributors will be held liable for any damages caused or alleged to be caused either directly or indirectly by
this book.
Acquisitions Editor: Devon Musgrave
Developmental Editor: Devon Musgrave
Project Editor: Devon Musgrave
Editorial Production: Waypoint Press
Technical Reviewer: Christophe Nassare; Technical Review services provided by Content Master, a member of
CM Group, Ltd.
Copyeditor: Roger LeBlanc
Indexer: Christina Yeager
Cover: Twist Creative.Seattle
[2012-10-19]
To my fellow Windows troubleshooters: Never give up! Never surrender!
— Mark Russinovich
To Elise, who makes great things possible and then makes sure they happen.
(And who is much cooler than I am.)
— Aaron Margosis
Contents at a Glance
Part I Getting Started
1 Getting Started with the Sysinternals Utilities . . . . . . . . . . . . . . . . 3
2 Windows Core Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Part II Usage Guide
3 Process Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4 Process Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
5 Autoruns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6 PsTools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
7 Process and Diagnostic Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . 211
8 Security Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
9 Active Directory Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
10 Desktop Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
11 File Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
12 Disk Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
13 Network and Communication Utilities . . . . . . . . . . . . . . . . . . . . 351
14 System Information Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
15 Miscellaneous Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Part III Troubleshooting—”The Case of the Unexplained...”
16 Error Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
17 Hangs and Sluggish Performance . . . . . . . . . . . . . . . . . . . . . . . . 405
18 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
v
Table of Contents
Foreword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xix
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxi
Tools the Book Covers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxi
The History of Sysinternals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxi
Who Should Read This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxv
Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxv
Organization of This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxv
Conventions and Features in This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxvi
System Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxvi
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxvii
Errata & Book Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii
We Want to Hear from You . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii
Stay in Touch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii
Part I Getting Started
1 Getting Started with the Sysinternals Utilities . . . . . . . . . . . . . . . . 3
Overview of the Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
The Windows Sysinternals Web Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Downloading the Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Running the Utilities Directly from the Web . . . . . . . . . . . . . . . . . . . . .10
Single Executable Image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
The Windows Sysinternals Forums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
Windows Sysinternals Site Blog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Mark’s Blog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Mark’s Webcasts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Sysinternals License Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
End User License Agreement and the /accepteula Switch . . . . . . . . . .13
Frequently Asked Questions About Sysinternals Licensing . . . . . . . . .14
What do you think of this book? We want to hear from you!
Microsoft is interested in hearing your feedback so we can continually improve our books and learning
resources for you. To participate in a brief online survey, please visit:
www.microsoft.com/learning/booksurvey/
vii
viii Table of Contents
2 Windows Core Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Administrative Rights . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Running a Program with Administrative Rights on Windows XP and Windows
Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Running a Program with Administrative Rights on Windows Vista or Newer
18
Processes, Threads, and Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
User Mode and Kernel Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
Handles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Call Stacks and Symbols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
What Is a Call Stack? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
What Are Symbols? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Configuring Symbols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Sessions, Window Stations, Desktops, and Window Messages . . . . . . . . . .30
Terminal Services Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Window Stations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Desktops . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Window Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Part II Usage Guide
3 Process Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Procexp Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Measuring CPU Consumption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Administrative Rights . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Main Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Process List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Customizing Column Selections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
Saving Displayed Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Toolbar Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Identifying the Process That Owns a Window . . . . . . . . . . . . . . . . . . . .66
Status Bar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
DLLs and Handles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
Finding DLLs or Handles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
DLL View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
Handle View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
Process Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
Image Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
Performance Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79
Table of Contents ix
Performance Graph Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80
Threads Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81
TCP/IP Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Security Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Environment Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Strings Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Services Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
.NET Tabs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
Job Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
Thread Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Verifying Image Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
System Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
Display Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95
Procexp as a Task Manager Replacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
Creating Processes from Procexp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Other User Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Miscellaneous Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Shutdown Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
Command-Line Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
Restoring Procexp Defaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
Keyboard Shortcut Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
4 Process Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Getting Started with Procmon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
Understanding the Column Display Defaults . . . . . . . . . . . . . . . . . . . .104
Customizing the Column Display . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Event Properties Dialog Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Displaying Profiling Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114
Finding an Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Copying Event Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Jumping to a Registry or File Location . . . . . . . . . . . . . . . . . . . . . . . . .115
Searching Online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
Filtering and Highlighting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
Configuring Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Configuring Highlighting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Advanced Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Saving Filters for Later Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121
Description:Developmental Editor: Devon Musgrave. Project Editor: Devon Musgrave. Editorial Production: Waypoint Press . Downloading the Utilities .
