Mit Process Explorer den PC überwachen und Viren finden

Sicherheit mit Microsoft Sysinternals erhöhen

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Der Sysinternals Process Explorer kann weitaus mehr, als nur die Aktivität von Systemprozessen anzuzeigen.
Der Sysinternals Process Explorer kann weitaus mehr, als nur die Aktivität von Systemprozessen anzuzeigen. (Bild: Thomas Joos)

Der kostenlose Process Explorer aus den Microsoft Sysinternals überwacht nicht nur die Leistung und Systemprozesse von Servern. Mit ihm lassen sich auch Viren und andere Angreifer identifizieren. Das Tool sollte daher auch zur Ausstattung von Administratoren gehören, die sich mit der IT-Sicherheit auseinandersetzen.

Viele Administratoren verwenden den kostenlosen „Sysinternals Process Explorer“ vor allem zur Server-Überwachung. Das Werkzeug kann aber weit mehr, als nur die Prozesse eines Servers zu visualisieren.

Seit Version 16 von Sysinternals Process Explorer können Administratoren auch gezielt nach Viren in Prozessen suchen. Dazu verwendet das Tool den Online-Dienst Virus Total mit seinen über 50 Scan-Engines. Wir zeigen in diesem Beitrag und der dazugehörigen Fotoshow die Möglichkeiten des Tools.

Tipp: Wenn Sie einen Virus mit dem Process Explorer finden, beenden Sie diesen nicht sofort. In den meisten Fällen verfügen Schädlinge über weitere Programme, die im Hintergrund laufen. Diese starten den Virus wieder mit einem anderen Namen. Versuchen Sie mit „Suspend“ im Kontextmenü des Process Explorer den Prozess anzuhalten und alle Dateien des Angreifers zu finden. Löschen Sie diese und suchen Sie dann erneut nach dem Angreifer.

Sicherheitsanalyse mit dem Process Explorer

Nachdem sie den Process Explorer heruntergeladen und gestartet haben (eine Installation ist nicht notwendig), können Administratoren sofort in die Sicherheitsanalyse von Servern einsteigen, ohne erst Konfigurationen vornehmen zu müssen. Sobald das Tool gestartet ist, zeigt es schon die laufenden Prozesse auf einem Computer an.

Der Process Explorer zeigt Prozesse in verschiedenen Farben an. Prozesse die im gleichen Benutzerkontext laufen, als Process Explorer selbst, stellt das Tool in hellblau dar. Pinkfarbene Prozesse sind Prozesse, die einen oder mehrere Windows-Dienste ausführen. Eine weitere Farbe ist Violett. Damit kennzeichnet das Tool Prozesse, die unter Umständen ausführbaren Code enthalten, um das System anzugreifen. Hierauf sollten sich Administratoren auf jeden Fall konzentrieren.

Prozesse auf Viren überprüfen

Verdächtige Prozesse lassen sich mit Process Explorer online nach Viren scannen. Beim ersten Scanvorgang müssen noch die Lizenzbedingungen des Scanners bestätigt werden. In der Fotoshow ist der Vorgang für den Virenscan zu sehen. Dieser ist im Grunde genommen sehr einfach: Mit einem Rechtsklick auf einen Prozess öffnet sich ein Kontextmenü, hier findet sich der Eintrag „Check Virus Total“. Beim ersten Start müssen noch die Lizenzbedingungen bestätigt werden, danach überträgt Process Explorer den Hashwert der Datei.

Wurde diese schon vorher einmal bei Virus Total überprüft, erkennt das der Online-Dienst und zeigt das Ergebnis direkt im Process Explorer in der Spalte Virus Total an. Durch einen Klick auf das Suchergebnis öffnet sich die Virus-Total-Webseite mit dem Ergebnis. Ausführbaren Dateien lassen sich auch komplett hochladen und scannen. In der Fotoshow zeigen wir die Vorgehensweise dazu – ebenso wie den Vorgang, alle laufenden Prozesse auf einmal bei Virus Total nach Viren scannen.

Der Process Explorer lässt sich übrigens so einrichten, dass er statt des weniger mächtigen Task Managers startet. Im Bereich „Options“ muss man dafür nur das Häkchen bei „Replace Task Manager“ setzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42920351 / Tools)