Antary

Sysmon hilft beim Aufspüren verdächtiger Aktivitäten unter Windows

28. August 2014, 17:03 · von

Mit dem Tool Sysmon wurde die beliebte Werkzeugsammlung der Sysinternals-Tools nach langer Zeit mal wieder erweitert. Sysmon kann verdächtiger Aktivitäten unter Windows aufspüren und protokollieren.

Die Funktionsweise ist schnell erklärt. Das Tool installiert einen Systemdienst, welcher bestimmte Systemaktivitäten von Windows in der Ereignisanzeige aufzeichnet. Der Sysmon-Dienst bleibt auch nach einem Windows-Neustart erhalten und wird schon sehr früh innerhalb des Bootvorgangs geladen. Dadurch soll er auch Malware erkennen können, die in Form von Kernel-Treibern geladen werden.

Standardmäßig zeichnet Sysmon auf, wenn ein Prozess das Änderungsdatum einer Datei überschreibt. Mit diesem Verhalten versuchen Viren oft Änderungen an Systemdateien zu verschleiern. Außerdem protokolliert Sysmon Infos über alle erzeugten Prozesse. So werden unter anderem ein Hash der dazugehörigen EXE-Datei, die Befehlszeile und Informationen zum Vaterprozess gesammelt. Zudem kann Sysmon auch alle TCP/IP-Verbindungen inklusive Quell- und Zieladressen sowie Quell- und Zielports aufzeichnen

Download Sysmon und weitere Infos

Sysmon

Kategorien: Software & Apps Windows

Permalink

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert