Seite 3: Prozessbeobachter

Inhaltsverzeichnis

Prozessbeobachter

Für die Analyse der laufenden Prozesse gilt Ähnliches wie für die Autostarts: Schon frisch installierte Systeme zeigen viel zu viele Einträge und der Windows-eigene Task Manager ist damit nahezu nutzlos. Auch hier springt ein Sysinternals-Tool in die Bresche: Der Process Explorer fördert eine Vielzahl von nützlichen Informationen über die aktuell laufenden Prozesse zu Tage. Autoruns kann im Übrigen auch direkt den Process Explorer mit den Eigenschaften eines Autostart-Prozesses öffnen und so die Spurensuche am lebenden Objekt einleiten. Erstes Ziel sind auch hier die Programme ohne gültige Signatur. Um sie aufzuspüren, muss man unter "View/Select Columns" die Spalte "Verified Signer" einblenden und dann die Option "Verify Image Signatures" aktivieren. Besondere Aufmerksamkeit verdienen Programme, bei denen das Überprüfen einer vorhandenen Signatur fehlschlägt. Sie markiert das Tool mit "(Unable to verify)". Möglicherweise hat ein klassischer Virus die Datei mit seinem Schadcode infiziert und damit verändert.

In den Eigenschaften eines Prozesses finden sich oft nützliche Hinweise auf seine Aktivitäten. Zeigt der TCP/IP-Reiter reihenweise SMTP-Verbindungen, hat man sich mit hoher Wahrscheinlichkeit einen Wurm eingefangen, der sich gerade massenweise an andere potenzielle Opfer verschickt. Allerhöchste Zeit also, die Netzwerkverbindung zu kappen. Unter Strings kann man im Programm vorhandene Zeichenketten inspizieren. Gepackte EXE-Dateien enthalten jedoch nur zusammenhanglose Zeichenfolgen. Hier hilft das Umschalten auf "Memory", wo sich oft schon die entpackten Daten finden. Taucht hier eine Liste von Antivirenprogrammen oder der Text einer verdächtig klingenden Mail auf, ist höchste Alarmstufe angesagt.

Eine verbreitete Methode, unbemerkt Schadcode einzuschmuggeln, ist das Laden von Bibliotheken in den Kontext von existierenden Prozessen. Gern genutzte Opfer sind Explorer und Internet Explorer. Auch hier verschafft der Process Explorer Einblick in das aktuelle Geschehen: Mit "View DLLs" (CTRL-D) erscheint eine Liste der aktuell genutzten Bibliotheken eines Prozesses. Aufgrund der schieren Menge empfiehlt es sich, zunächst nach Auffälligkeiten Ausschau zu halten. Eine lila markierte, weil komprimierte Bibliothek ohne Herausgeber im IE-Kontext lohnt auf jeden Fall einen zweiten Blick. Findet sich dann im Speicher beispielsweise der Text der zwangsweise eingeblendeten Homepage, hat man einen Treffer gelandet.

Mit der Tastenkombination Strg-H zeigt das Tool die offenen File-Handles an. Auch dies ist eine Möglichkeit, verdächtigen Aktivitäten von Viren oder Keyloggern auf die Spur zu kommen. Letztere legen ihre gesammelten Daten gerne in durchnummerierten Dateien ab.