Dienstag, 10. Januar 2017

Sysinternals

Wer kennt nicht die praktischen Tools von Microsoft "Sysinternals". Kann man gesammelt unter https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx auch runterladen.

Wenn man aber nur auf die Schnelle ein Tool braucht, zB procexp oder du, dann kann man diese auch unter https://live.sysinternals.com/ einzeln schnell runterladen.

Damit erspart man sich das Runterladen/Entpacken und hat auch immer die aktuelle Version zur Hand (wenn Internet vorhanden ist).

Sonst immer eine Ausgabe der aktuellen Suite auf einen USB-Stick gepackt, damit man sie zur Hand hat, wenn man sie braucht.

Interessant beim Tool Process Explorer (procexp.exe oder proexp64.exe) ist die Verbindung mit virustotal.com. Man kann aus seinen laufenden Prozessen die Hashes ausrechnen lassen und diese gleich gegen virustotal.com checken lassen. Menüpunkt: Options - VirusTotal.com - Check VirusTotal.com. Idealerweise sollte der Process Explorer als Administrator gestartet sein, da sonst die Berechnung bei Systemprozessen nicht funktioniert. Dann bekommt man zu jedem Prozess die Anzahl erkannter Treffer in der VirusTotal-Datenbank.


Man kann dann drauf klicken und sich mehr Infos zu diesem Prozess holen und warum er vielleicht als Malware gekennzeichnet wurde. Es kann auch immer wieder ein False/Positive geben, dh es muss nicht wirklich eine Schadsoftware sein. Das Tool kann aber einen guten Überblick geben, ob vielleicht doch was "Böses" am System sein Unwesen treibt.

Selbst der Process Explorer wird als Schadprogramm erkannt, obwohl es eigentlich keines ist: