Process Explorer

    • Systemprogramme/Tools

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Process Explorer

      2018-08-02 16_14_14-Process Explorer - Sysinternals_ www.sysinternals.com [DESKTOP-O1LP6NF_guent].png

      icon.jpgDer Taskmanager deiner Maschine gibt dir zu wenig Informationen? Du weißt zu wenig, was auf deinem Windows-Rechner läuft? Dann setze den "Process Explorer" von Mark Russinovich ein und du erfährst viele zusätzliche Details.
      Der "Process Explorer" liefert dir eine genaue Aufstellung über Dateien und DLLs, die gerade ausgeführt werden. Das Programm kann auch jede ungewollte Ausführung sofort abbrechen.

      Home/Autor: Mark Russinovich
      System: Windows
      Sprache: Englisch
      Download: Process Explorer

      Fazit: "Process Explorer" kann mehr, als der standardmäßig in Windows integrierte Task-Manager, arbeitet schnell und du erhältst mit dieser Freeware einen genauen Einblick in die Vorgänge deiner Maschine. Leider ist das Tool in seinen Funktionen nicht selbsterklärend und spricht nicht deutsch.
      Internetter Gruß
      Günther ...Oldie But Even Goldie....
      Komm an den Bodensee und fühle Dich unter netten Leuten wohl!

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Ein Einblick in die Software

      Dieses Tool von Russinovich ist eines der Tools, die ich ebenfalls bei der Suche nach (und der Analyse von) Malware verwende, wenn ich einen Rechner untersuche, zu dem ich lokalen Zugriff habe.

      Bedienbarkeit, Auswertbarkeit der Daten und Funktionsumfang

      Russinovich weiß schon irgendwie sehr genau, was man an Daten benötigen könnte (und wie die angezeigt werden müssen), um effektiv auf die Suche nach Malware gehen zu können. Sehr gelungen finde ich hier die in Baumstruktur angezeigte Prozessliste - man sieht hier sofort, welcher Prozess welchen gestartet hat. Ich werde später noch darauf eingehen, warum das wichtig ist.
      Was aus der Dateiressource angezeigt wird, entspricht ebenfalls in etwa dem, was ich mir persönlich wünsche - neben dem Firmennamen (CompanyName) und der Beschreibung der Datei (Description) hätte ich aber gerne noch den Produktnamen (ProduktName) aus der Ressource. Aber die zwei Sachen auszulesen, ist eigentlich schon OK - meist wird das reichen.
      Klickt man einen Prozess an, kann man sich unten die geladenen DLLs anzeigen lassen.

      ProcessExplorer1.jpg

      Sowohl bei den DLLs als auch im gesamten Prozess kann man sich Textausdrücke anzeigen lassen, die im Speicher oder im Image der EXE / DLL auf der Platte vorhanden sind. Das ist absolut top!

      ProcessExplorer2.jpg

      Malware bringt meist anzufunkende URLs im Code mit. Im Speicher sind die in der Regel uncodiert zu finden, sobald die in eine Variable geladen wurden. Man erhält also auch Einblicke in Sachen, die eine Datei tun möchte - aber im Augenblick vielleicht gar nicht tut.
      Bestehende Netzwerkverbindungen von Prozessen kann das Tool ebenfalls listen.

      ProcessExplorer3.jpg

      Ganz unten kann man sich optional auch die Kernelhandles anzeigen lassen. Man sieht also auch, mit welchen Objekten (zum Beispiel Dateien) der jeweilige Prozess gerade herumspielt.

      ProcessExplorer4.jpg

      Auch Threads listet das Tool - die Art der Ermittlung der Startadresse des Threads ist aber für die Malwareanalyse eigentlich zu wenig brauchbar. Hier läuft mit dem Thread der TID 4240 gerade eine in den Explorer injizierte und versteckt geladene DLL. Dass der gestartete Code gar nicht sichtbar ist, geht aus der Startadresse, die das Tool ermittelt, nicht hervor. Da finde ich meine Methode doch schon etwas effektiver.

      ProcessExplorer5.jpg

      Die eigentliche Adresse, die für den Start des Threads übergeben wurde, liegt bei diesem Thread nicht in der ntdll.dll, wie man aus dem Vermerk bei Startadresse annehmen könnte - die liegt in gar keinem geladenen Modul. Solche Injektionstechniken sind eigentlich seit vielen Jahren Standardwerkzeuge bei der Programmierung von Malware. Wendet Malware solche Techniken an, sieht man nicht, dass in einem Windowsprozess bereits Malware läuft, wenn der auf diese Art infiziert wurde.

      Wie sicher sind die Ergebnisse?

      Wir werfen mal einen Blick auf das Tool. Hier fällt ein SVCHOST-Prozess auf, der unterhalb der explorer.exe zu sehen ist. Die PID lautet 2440:

      ProcessExplorer6.jpg

      Schauen wir bei dem Prozess in die Eigenschaften, scheint das die originale svchost.exe aus dem System32 Verzeichnis zu sein, die da läuft. Also kein Trojaner - oder? :0ahnung:

      ProcessExplorer7.jpg

      Merkwürdig ist aber, dass dieser Prozess ein Kindprozess der explorer.exe ist (also durch den WindowsExplorer gestartet wurde). SVCHOST Sachen sind eigentlich aber Dienste, die über den Prozess services.exe gestartet werden...
      Wirft man einen Blick in den Taskmanager und klickt dort bei dem Prozess auf Dateipfad öffnen, landet man aber nicht im Ordner C:\Windows\System32, sondern in einem ganz anderen Ordner - da läuft also gar nicht der SVCHOST von Windows, sondern etwas ganz anderes.
      Aber warum sieht es im Tool von Russinovich so aus, als würde dort der Windowsprozess laufen?
      Grund dafür ist, dass Russinovich hier eine API zum Auslesen des Prozesspfades nutzt, die man auf aktuellen Systemen eigentlich nicht mehr nutzen sollte (GetModuleFilenameEx dürfte das sein). Die Infos über den Prozess werden mit dieser API von einer Stelle gelesen, die sehr unsicher ist - das heißt die Infos dort können vom Prozess, von dem die Infos stammen, selbst (und ohne zusätzliche Rechte) geändert werden. Der Prozess kann sich dann quasi selbst "maskieren".
      Eine offizielle Methode, den Prozesspfad sicher zu ermitteln, gibt es erst ab Vista. Vorher ging das nur über native APIs. Der Taskmanager verwendet hier eine neuere API und nicht GetModuleFilenameEx und landet deshalb im korrekten Pfad. Sehr viele Analysetools haben genau das gleiche Problem mit der Nutzung der API GetModuleFilenameEx (oder einer damit verwandten API):
      Die Baumstruktur des Process Explorers liefert eigentlich den einzigen Hinweis darauf, dass da etwas nicht stimmen könnte.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • Was mir bei den Tools von Russinovich sehr stark auffällt (das sehe ich auch in diesem Tool):

      Russinovich scheint sich sehr gut mit Analysen und allem, was man dazu benötigen könnte, auszukennen. Mit der wirklichen Programmierung von Malware, der Entwicklung und Anwendung von Tarntechniken, scheint er sich aber zu wenig beschäftigt zu haben. Oft fehlen in seinen Tools Möglichkeiten, Hinweise auf einfache Tarntechniken zu erhalten. Ist etwas getarnt, ist das eben so. Des Weiteren scheint er auch kein Problem damit zu haben, Funktionen innerhalb seines Tools zu nutzen, die Tarnung ermöglichen. Auch dann noch zu nutzen, wenn es im System andere Möglichkeiten gibt.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT