Unter Beobachtung
Malware-Aktivitäten mit dem Microsoft-Tool Process Monitor aufdecken
Der kostenlose Process Monitor aus dem Sysinternals-Paket ist zur Fehlersuche unter Windows beliebt. Seine Überwachungskompetenz eignet sich aber auch bestens zur Malware-Analyse, wie wir anhand eines Beispiels zum Nachmachen zeigen.
Das Tool Process Monitor, kurz Procmon, aus Microsofts Werkzeugsammlung Sysinternals liefert in Echtzeit eine Fülle von Informationen über laufende Prozesse und Threads. Protokolliert werden etwa Datei-, Ordner- und Registry-Zugriffe sowie Netzwerkaktivitäten. Filterfunktionen helfen dabei, potenzielle Fehlerquellen auf Windows-Systemen wirksam eingrenzen und aufspüren.
Weniger bekannt ist, dass sich Procmon auch wunderbar eignet, um die Funktionsweise von Schadcode nachzuvollziehen, und zwar vor allem in dynamischen Analysen – also wenn man einen Schädling absichtlich ausführt, um sein Verhalten zu beobachten. So kann Procmon beispielsweise schreibende Systemzugriffe, neu angelegte Malware-Komponenten nebst ihrer Aktivitäten sowie Verbindungsversuche zu (Command-and-Control-)Servern protokollieren. Dank des umfassenden Monitorings – Procmon überwacht schlicht alles an Systemaktivität – kommt man damit oft auch dann noch weiter, wenn eine Codeverschleierung (Obfuscation) oder Anti-Analyse-Tricks andere Tools gegen die Wand fahren lassen.