Unter Beobachtung Malware-Aktivitäten mit dem Microsoft-Tool Process Monitor aufdecken Der kostenlose Process Monitor aus dem Sysinternals-Paket ist zur Fehlersuche unter Windows beliebt. Seine Überwachungskompetenz eignet sich aber auch bestens zur Malware-Analyse, wie wir anhand eines Beispiels zum Nachmachen zeigen.

c't kompakt Der Sysinternals Process Monitor ist nicht nur zur Fehlersuche klasse, sondern auch bei der Malware-Analyse.

Mit den passenden Filtereinstellungen präsentiert Procmon Malware-Aktivitäten auf dem Silbertablett.

Anhand eines Beispielvirus können Sie die Analyseschritte selber nachstellen.

Das Tool Process Monitor, kurz Procmon, aus Microsofts Werkzeugsammlung Sysinternals liefert in Echtzeit eine Fülle von Informationen über laufende Prozesse und Threads. Protokolliert werden etwa Datei-, Ordner- und Registry-Zugriffe sowie Netzwerkaktivitäten. Filterfunktionen helfen dabei, potenzielle Fehlerquellen auf Windows-Systemen wirksam eingrenzen und aufspüren.

Weniger bekannt ist, dass sich Procmon auch wunderbar eignet, um die Funktionsweise von Schadcode nachzuvollziehen, und zwar vor allem in dynamischen Analysen – also wenn man einen Schädling absichtlich ausführt, um sein Verhalten zu beobachten. So kann Procmon beispielsweise schreibende Systemzugriffe, neu angelegte Malware-Komponenten nebst ihrer Aktivitäten sowie Verbindungsversuche zu (Command-and-Control-)Servern protokollieren. Dank des umfassenden Monitorings – Procmon überwacht schlicht alles an Systemaktivität – kommt man damit oft auch dann noch weiter, wenn eine Codeverschleierung (Obfuscation) oder Anti-Analyse-Tricks andere Tools gegen die Wand fahren lassen.