Sysinternals-Tool hilft bei der Malware-Suche

  • Es gibt ein neues Programm von Mark Russinovich (und Thomas Garnier), bekannter wohl durch den Namen "SysInternals".

    SysInternals hat jetzt ein neues Tool herausgebracht, welches dem erfahrenden Benutzer die Suche nach Malware, genauer: tief verborgener Malware, helfen soll. "SysMon" kann mit verschiedenen Optionen als Treiber installiert werden, läuft dann als Dienst mit und protokolliert diverse Ereignisse unter Windows, unter anderem auch schon beim Booten, um zB Rootkits zu entlarven. Die Ergebnisse werden dann in der Systemsteuerung > Verwaltung > Ereignisanzeige bereitgestellt.

    1. http://technet.microsoft.com/de-de/sysinternals/dn798348
    2. http://www.heise.de/newsticker/mel…he-2289360.html

    Die Kommentare dazu waren gemischter Natur, einige Geister konnten sich jedoch auf den Nutzen einigen: Wer sich als eingeschränkter Benutzer zB ein drive-by einfängt, kann SysMon das eindeutig finden - wenn als Admin Sysmon plötzlich fehlt, dann ist auch was faul, dann hat Malware den Dienst abgeschossen.

    Natürlich ersetzt SysMon kein gesundes Sicherheitskonzept und auch keinen Malwarescanner, kann aber beidem hinzugefügt werden. In dem Zusammenhang sei auf das folgende Thema hingewiesen, bei dem diverse Antimalware getestet wurde: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=109504

    Die beiden Favoriten dort, MalwareBytes und die Kaspersky Removal Tool, sind schon optimal.

    3. http://www.malwarebytes.org/
    4. http://www.kaspersky.com/antivirus-removal-tool?form=1

  • Sysinternals Programme sind auf Windows abgestimmt und werden auch permanent weiterentwickelt, seit Teil von MS sogar mit Infos aus erster Hand. Ich kenne keine andere Freeware, die es auch nur ansatzweise mit dieser Sammlung und chirurgischer Präzision in Windows hantieren kann. Bsp: Auch wenn MS den Taskmanager weiterentwickelt hat auf Benutzerfreundlichkeit und Informationsdarstellung, ist ProcessExplorer immer noch das Mass aller Taskmanager. Vertrauen hier basiert wohl mehr auf Erfahrung und wenn Sysinternals korrumpieren oder verschleiern täte, wäre von beiden der Ruf sowas von ruiniert. MS hat auch vor Sysinternals mit der NSA im selben Bett geschlafen.

  • Zitat von Bernd.

    … die es auch nur ansatzweise mit dieser Sammlung und chirurgischer Präzision in Windows hantieren kann.

    Full Ack.

    Aber mit den Kenntnissen von …

    Zitat von Bernd.

    … seit Teil von MS sogar mit Infos aus erster Hand.


    Genau daraus resultiert mein Misstrauen.

    Es gibt ja auch "non disclosure" Abkommen, und darum habe ich ein gewisses Vertrauen verloren.