Suchen

Mit Process Explorer den PC überwachen und Viren finden Sicherheit mit Microsoft Sysinternals erhöhen

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Der kostenlose Process Explorer aus den Microsoft Sysinternals überwacht nicht nur die Leistung und Systemprozesse von Servern. Mit ihm lassen sich auch Viren und andere Angreifer identifizieren. Das Tool sollte daher auch zur Ausstattung von Administratoren gehören, die sich mit der IT-Sicherheit auseinandersetzen.

Der Sysinternals Process Explorer kann weitaus mehr, als nur die Aktivität von Systemprozessen anzuzeigen.
Der Sysinternals Process Explorer kann weitaus mehr, als nur die Aktivität von Systemprozessen anzuzeigen.
(Bild: Thomas Joos)

Viele Administratoren verwenden den kostenlosen „Sysinternals Process Explorer“ vor allem zur Server-Überwachung. Das Werkzeug kann aber weit mehr, als nur die Prozesse eines Servers zu visualisieren.

Seit Version 16 von Sysinternals Process Explorer können Administratoren auch gezielt nach Viren in Prozessen suchen. Dazu verwendet das Tool den Online-Dienst Virus Total mit seinen über 50 Scan-Engines. Wir zeigen in diesem Beitrag und der dazugehörigen Fotoshow die Möglichkeiten des Tools.

Bildergalerie

Bildergalerie mit 10 Bildern

Tipp: Wenn Sie einen Virus mit dem Process Explorer finden, beenden Sie diesen nicht sofort. In den meisten Fällen verfügen Schädlinge über weitere Programme, die im Hintergrund laufen. Diese starten den Virus wieder mit einem anderen Namen. Versuchen Sie mit „Suspend“ im Kontextmenü des Process Explorer den Prozess anzuhalten und alle Dateien des Angreifers zu finden. Löschen Sie diese und suchen Sie dann erneut nach dem Angreifer.

Sicherheitsanalyse mit dem Process Explorer

Nachdem sie den Process Explorer heruntergeladen und gestartet haben (eine Installation ist nicht notwendig), können Administratoren sofort in die Sicherheitsanalyse von Servern einsteigen, ohne erst Konfigurationen vornehmen zu müssen. Sobald das Tool gestartet ist, zeigt es schon die laufenden Prozesse auf einem Computer an.

Der Process Explorer zeigt Prozesse in verschiedenen Farben an. Prozesse die im gleichen Benutzerkontext laufen, als Process Explorer selbst, stellt das Tool in hellblau dar. Pinkfarbene Prozesse sind Prozesse, die einen oder mehrere Windows-Dienste ausführen. Eine weitere Farbe ist Violett. Damit kennzeichnet das Tool Prozesse, die unter Umständen ausführbaren Code enthalten, um das System anzugreifen. Hierauf sollten sich Administratoren auf jeden Fall konzentrieren.

Prozesse auf Viren überprüfen

Verdächtige Prozesse lassen sich mit Process Explorer online nach Viren scannen. Beim ersten Scanvorgang müssen noch die Lizenzbedingungen des Scanners bestätigt werden. In der Fotoshow ist der Vorgang für den Virenscan zu sehen. Dieser ist im Grunde genommen sehr einfach: Mit einem Rechtsklick auf einen Prozess öffnet sich ein Kontextmenü, hier findet sich der Eintrag „Check Virus Total“. Beim ersten Start müssen noch die Lizenzbedingungen bestätigt werden, danach überträgt Process Explorer den Hashwert der Datei.

Wurde diese schon vorher einmal bei Virus Total überprüft, erkennt das der Online-Dienst und zeigt das Ergebnis direkt im Process Explorer in der Spalte Virus Total an. Durch einen Klick auf das Suchergebnis öffnet sich die Virus-Total-Webseite mit dem Ergebnis. Ausführbaren Dateien lassen sich auch komplett hochladen und scannen. In der Fotoshow zeigen wir die Vorgehensweise dazu – ebenso wie den Vorgang, alle laufenden Prozesse auf einmal bei Virus Total nach Viren scannen.

Der Process Explorer lässt sich übrigens so einrichten, dass er statt des weniger mächtigen Task Managers startet. Im Bereich „Options“ muss man dafür nur das Häkchen bei „Replace Task Manager“ setzen.

(ID:42920351)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist