Wie kann ich in Process Explorer herausfinden, welche Prozesse von einem bestimmten Dienst gestartet wurden?
- Wie finde ich in Process Explorer heraus, welche Prozesse von einem bestimmten Dienst gestartet wurden?
- Verstehen der Beziehung zwischen Diensten und Prozessen
- Schritte zum Finden der zu einem Dienst gehörenden Prozesse in Process Explorer
- Alternative Methode über die Prozess-Details
- Zusammenfassung
Wie finde ich in Process Explorer heraus, welche Prozesse von einem bestimmten Dienst gestartet wurden?
Process Explorer ist ein mächtiges Werkzeug von Microsoft Sysinternals, mit dem Sie detaillierte Informationen zu laufenden Prozessen und Diensten erhalten können. Um herauszufinden, welche Prozesse von einem bestimmten Dienst gestartet wurden, müssen Sie die Beziehung zwischen Diensten und Prozessen verstehen und diese in Process Explorer nachvollziehen.
Verstehen der Beziehung zwischen Diensten und Prozessen
Dienste unter Windows laufen normalerweise innerhalb von Prozessen. Manche Dienste können eigenständig in einzelnen svchost.exe-Instanzen laufen, manche hingegen haben eigene ausführbare Dateien als Prozesse. Ein Dienst selbst "startet" oft keinen separaten Prozess, sondern ist Teil eines bestehenden Prozesses – meist einer svchost.exe-Instanz, oder eines dedizierten Dienstprogramms.
Das bedeutet, dass ein Dienst nicht notwendigerweise einen eigenen Prozess parent ist, von dem andere Prozesse abstammen, sondern eher ein Teil oder eine Komponente eines Prozesses. Wenn Sie also wissen möchten, welche Prozesse einem Dienst zugeordnet sind, gilt es zu verstehen, welche Prozessinstanzen diesen Dienst ausführen.
Schritte zum Finden der zu einem Dienst gehörenden Prozesse in Process Explorer
Starten Sie Process Explorer mit Administrator-Rechten, damit Sie alle Systemprozesse und deren Details sehen. In der Baumansicht sehen Sie alle aktuell laufenden Prozesse und deren Hierarchie. Um nun herauszufinden, welche Prozesse zu einem bestimmten Dienst dazugehören, können Sie den Reiter oder die Ansicht verwenden, die Dienste mit Prozessen verknüpft.
In Process Explorer gibt es eine Funktion, die alle Dienste anzeigt, die zu einem Prozess gehören. Dafür klicken Sie zunächst auf einen Prozess, der Verdacht hat, den Dienst auszuführen. Unten im Fenster finden Sie den Tab Services (oder Dienste). Dort werden alle Dienste aufgelistet, die dieser Prozess hostet.
Umgekehrt, wenn Sie bereits den Namen des Dienstes kennen, können Sie im Prozessbaum entweder nach dem zugehörigen Prozess suchen, der diesen Dienst ausführt, oder in der Menüleiste den Filter verwenden, um den Dienstnamen zu suchen. Sobald der Prozess gefunden ist, sehen Sie im Bereich Services, welche Dienste in diesem Prozess laufen.
Alternative Methode über die Prozess-Details
Eine weitere Möglichkeit ist, im Process Explorer die Spalte Dienstname oder Service Name einzublenden. Dazu klicken Sie in der Menüleiste auf View > Select Columns > Process Image und fügen die Spalte Service hinzu. So sehen Sie direkt im Hauptfenster zu jedem Prozess, ob und welcher Dienst an diesem Prozess hängt.
Wenn es um Prozesse geht, die von einem Dienst gestartet wurden (also Kindprozesse eines Dienstes), ist dies oft schwer direkt im Process Explorer zu sehen, da Dienste meist keine Parent-Prozesse sind, sondern selbst Prozesse oder Threads innerhalb eines Prozesses. Sie können aber die Parent-Prozess-Information im Process Explorer nutzen, um festzustellen, welcher Prozess einen anderen gestartet hat. Kombinieren Sie also die Dienst-Zugehörigkeit mit der Parent-Prozess-Hierarchie, um die Prozesskette zu analysieren.
Zusammenfassung
In Process Explorer finden Sie heraus, welche Prozesse zu einem Dienst gehören, indem Sie den Prozess suchen, der den Dienst hostet, und im Fenster unten im Tab Services prüfen, welche Dienste darin laufen. Nutzen Sie zusätzlich die Spalte Service, um direkt im Hauptprozessfenster eine Übersicht zu bekommen. Der Begriff Prozesse, die von einem Dienst gestartet wurden ist in Windows technisch etwas ungewöhnlich, da Dienste meist innerhalb von Prozessen laufen und diese Prozesse nicht unbedingt Kindprozesse eines Dienstes sind, sondern der Dienst Teil des Prozesses ist.
Wenn Sie also wissen wollen, welche Prozesse ein Dienst verursacht hat, schauen Sie auf die Prozesse, in denen der Dienst aktiv ist, und nutzen Sie Parent-Prozess-Informationen, um die Prozesshierarchie zu verstehen.