Sysinternals Live
Die Sysinternals-Tools sind eine Sammlung nützlicher Utilities zur Analyse von Windows, die sich auch zur Malware-Diagnose einsetzen lassen. Diese Tools für Windows kann man auch aus dem Browser heraus starten - das jedenfalls ermöglicht der SysInternals Live-Dienst auf live.sysinternals.com.
von Andreas am 25. Nov 2009
twittern
facebooken
(Wer keine Ahnung hat, was die SysInternals-Tools sind, findet Beschreibungen auf technet.microsoft.com/sysinternals)
Leider lassen sich die Tools auf live.sysinternals.com nur mit dem Microsoft Internet Explorer "live" starten, denn nur der führt Software aus, als wäre er der Windows-Explorer (was teilweise stimmt). Prinzipiell ist das übrigens ein Risiko, hier aber nützlich.
Das gesamte Tool-Verzeichnis von Sysinternals Live sehen Sie auf live.sysinternals.com. Es ist eher schmucklos gehalten:
Der Dienst Sysinternals Live im IEX
Interessante Tools bei Sysinternals Live
- accesschk.exe zeigt Informationen zu Zugriffsrechten in Windows an
- autoruns.exe analysiert Autostart-Einträge aller Art (Autostart, Run, Shell...), wie sie typischerweise Malware okkupieren
- Diskmon.exe analysiert Zugriffe auf die Festplatte (wann, wer, wohin...), die Aufschluss geben können auf Malware-Zugriffe
- handle.exe zeigt, welcher Prozess ein Handle auf ein Filet oder ein Directory hat (das sich z.B. deswegen nicht löschen lässt)
- procexp.exe analysiert Prozesse (deutlich besser als der Windows-eigene Task-Manager, selbst der von Windows 7), interessant für die Suche nach verdächtigen Prozessen
- Procmon.exe geht noch einen Tick weiter als procexp.exe (aber auf andere Art) und zeigt in Echtzeit alle Registry-Zugriffe, Netzwerkzugriffe, Dateizugriffe... mit einem Wort: analysiert alles. Ist aber entsprechend unübersichtlich.
- pskill.exe killt Prozesse, auf Wunsch auch die von Malware
- RootkitRevealer.exe spürt über indirekte Methoden Rootkits auf (Vorsicht vor Fehlalarmen, das Tool arbeitet sehr generisch, eine Warnung muss rein gar nichts bedeuten)
- SDelete.exe shreddert Dateien oder freie Bereiche mit 0en (ideal auch für VMs, die man shrinken will)
- TCPView.exe analysiert TCP/IP-Verbindungen, nützlich beim Aufspüren von Trojaner, Backdoors, RATs, Spionen und Programmen, die "nach Hause telefonieren"
Tool starten
Ein einfacher Klick auf eines der Utilities erzeugt die erste Sicherheitsabfrage:
Der IEX führt das Tool auf Wunsch direkt aus
Speichern speichert einfach nur und macht dann 'nichts' - wenn Sie das wünschen, down'en Sie lieber die SysInternals Suite. Ausführen startet im Anschluss an den Download die EXE-Datei. Weil diese aber aus dem Web stammt, also per se nicht als sicher betrachtet werden kann, schiebt der Internet Explorer dann nach dem Download und vor der Ausführung eine zweite Sicherheitsabfrage nach:
Letzte Chance, es sich anders zu überlegen...
Was lernen wir daraus?
- Der Internet Explorer ist prinzipiell eine ernste Bedrohung für die Sicherheit Ihres PCs, denn dass er das hier dargestellte mit "guten" Tools tut, bedeutet, dass er es unter Umständen auch mit "bösen" Tools tut - das ist ja auch mal ganz gut zu wissen.
Doch zugleich sperren dieses versehentliche Ausführen ganze zwei Sicherheitsabfragen (sofern man nicht in der Konfiguration die Sicherheitseinstellungen herabgesetzt hat), die ich eigentlich unmissverständlich finde. Wie immer ist der beste Schutz also die Person vor dem PC.
- Doch mal ehrlich: Tool-mäßig ist das jetzt noch nicht ganz das, was ich als "gut integriert" bezeichnen würde (warum kein virtuelles Laufwerk mapbar machen, etwa per WebDAV? Und: Hilfedateien - Pustekuchen!).
- Aber der Tool-Server kommt ganz sicher mal handy, wenn man irgendwo einen PC zu warten, aber keinen USB-Stick dabei hat: live.sysinternals.com kann man sich gerade noch so merken.
