2028398

Windows-Prozesse: So finden Sie Hackerangriffe in Windows

22.02.2016 | 08:26 Uhr |

Jedes Windows-Programm besitzt einen eigenen Prozess. Das gilt auch für jede Malware. Wir erklären, wie Sie verdächtige Prozesse aufspüren.

Nicht immer finden Zusatztools zuverlässig Hacker oder Trojaner in Windows. Administratoren oder geübte Anwender können sich aber auch selbst auf die Analyse machen und verdächtige Prozesse genauer untersuchen. Hierzu gibt es Tools, die bei der Forensik helfen und nicht sehr kompliziert in der Bedienung sind.
 
Verdächtigen Sie einen Prozess, dass er Daten Ihres PCs auslesen oder manipulieren könnte, dann sollten Sie diesen Prozess nicht einfach beenden oder löschen. Denn falls es sich dabei um einen Trojaner handelt, dann sitzt dieser bereits tief im System und startet den Prozess einfach unter einem anderen Namen neu. Besser ist es, wenn Sie den Prozess analysieren. Dazu hilft Ihnen das Bordmitteln netstat, aber auch weitere Zusatztools, die wir nachfolgend vorstellen.

Prozesse mit Internetzugriff entdecken und sperren

Viele Prozesse, die auf dem Computer installiert sind, bauen eine Verbindung zum Internet auf. Auch Viren und Trojaner übertragen Daten ins Internet, das gilt auch für Hackerangriffe. Wir zeigen Ihnen mit den folgenden Schritten, wie Sie mit einfachen Mitteln solche Programme entdecken können:

1. Öffnen Sie zunächst eine neue Eingabeaufforderung.
2. Geben Sie in der Eingabeaufforderung den Befehl netstat -o ein. Wollen Sie die Ausgabe in eine Textdatei umleiten, geben Sie den Befehl netstat -o >C:\netstat.txt ein. Anschließend können Sie die Datei mit einem Editor bearbeiten.
3. Die Eingabeaufforderung zeigt nun alle laufenden Programme und deren aktuellen Verbindungszustand an.
4. In der Spalte Remoteadresse sehen Sie zu welchem Server oder zu welcher Adresse im Internet der Prozess eine Verbindung aufbaut.
5. Möchten Sie eine bestimmte Verbindung genauer untersuchen, merken Sie sich deren Process-ID (PID) in der letzten Zeile.

Mit netstat finden Sie schnell heraus, welche Prozesse auf dem Computer eine Verbindung in das Internet aufbauen
Vergrößern Mit netstat finden Sie schnell heraus, welche Prozesse auf dem Computer eine Verbindung in das Internet aufbauen

6. Rufen Sie anschließend den Task-Manager auf. Geben Sie dazu den Befehl taskmgr auf der Startseite ein und bestätigen Sie mit der (Eingabe)-Taste.
7. Wechseln Sie unter Windows 8 zur Registerkarte Details . Bei Windows 7 gehen Sie zum Reiter Dienste oder – übersichtlicher – zum Reiter Prozesse (falls unter „Prozesse“ die Spalte mit der PID nicht angezeigt wird, rufen Sie im Task-Manager den Menübefehl Ansicht/Spalten auswählen auf und aktivieren Sie das Kontrollkästchen PID). Hier sehen Sie zu welchem Prozess die PID gehört, die Sie mit netstat herausgefunden haben.

Um den Prozess zunächst zu blockieren, erstellen Sie mit der erweiterten Verwaltung der Windows-Firewall neue ausgehende Regeln und sperren den Internetverkehr für den Prozess.

Im Task-Manager sehen Sie die Process ID jedes Prozesses in der Spalte PID
Vergrößern Im Task-Manager sehen Sie die Process ID jedes Prozesses in der Spalte PID

Zur Analyse von Prozessen, die im Verdacht stehen Daten auszulesen gibt es weitere Möglichkeiten, die wir nachfolgend vorstellen.
Um sich einen besseren Überblick über die aktuellen Internetverbindungen der Prozesse zu verschaffen, können Sie das Tool CurrPorts von Nirsoft verwenden. Hier erhalten Sie noch mehr Informationen und sehen auch das Icon des Prozesses, wenn es eines gibt.

CurrPorts zeigt Ihnen die aktuell geöffneten Ports und deren zugewiesenen Prozesse in der grafischen Oberfläche an.
Vergrößern CurrPorts zeigt Ihnen die aktuell geöffneten Ports und deren zugewiesenen Prozesse in der grafischen Oberfläche an.

Mit dem kostenlosen Tool Process Explorer von Microsoft Sysinternals können Sie Viren und andere Angreifer im System identifizieren. Sysinternals Process Explorer kann auch gezielt nach Viren in Prozessen suchen. Dazu verwendet das Tool den Online-Dienst Virus Total mit seinen über 50 Scan-Engines. Außerdem können Sie aus dem Tool heraus direkt eine Suche im Internet starten und können auch unbekannte Prozesse schnell identifizieren.
 
Wenn Sie mit Sysinternals Process Explorer einen Angreifer finden, beenden Sie den Prozess nicht. Versuchen Sie mit Suspend im Kontextmenü von Process Explorer den Prozess anzuhalten und alle zusätzlichen Dateien des Angreifers zu finden. Löschen Sie erst danach den Prozess aus dem System oder beenden diesen.

Process Explorer zeigt alle laufenden Prozesse auf dem Computer an und kann diese beenden, pausieren, nach Viren durchsuchen oder im Internet nach dem Prozess suchen
Vergrößern Process Explorer zeigt alle laufenden Prozesse auf dem Computer an und kann diese beenden, pausieren, nach Viren durchsuchen oder im Internet nach dem Prozess suchen

Prozesse, die im gleichen Benutzerkontext laufen, stellt das Tool in hellblauer Farbe dar. Pinkfarbene Prozesse sind Prozesse, die einen oder mehrere Windows-Dienste ausführen. Eine weitere Farbe ist Violett. Damit kennzeichnet das Tool Prozesse, die unter Umständen ausführbaren Code enthalten um das System anzugreifen. Hierauf sollten sich Administratoren auf jeden Fall konzentrieren.

Prozesse nach Viren und Trojaner durchsuchen

Starten Sie die Option Check Virus Total im Kontextmenü des Prozesses. Process Explorer  überträgt den Hashwert der Datei zum Suchdienst. Wurde dieser bereits bei Virus Total durch andere Anwender überprüft, erkennt das der Online-Dienst und zeigt das in der Spalte Virus Total an. Durch einen Klick auf das Suchergebnis öffnet sich die Virus-Total-Webseite mit dem Ergebnis.

In Process Explorer sehen Sie, wie viele Engines in Virus Total bei dem Prozess einen Virus gefunden habe
Vergrößern In Process Explorer sehen Sie, wie viele Engines in Virus Total bei dem Prozess einen Virus gefunden habe

Durch Auswahl von Options\Virus Total.com\Check Virus Total.com scannt Process Explorer alle laufenden Prozesse automatisch auf einmal nach Viren. Verdächtige Prozesse erhalten ein rotes Suchergebnis.

Sie können auch alle Prozesse Ihres Rechners auf einmal nach Viren durchsuchen lassen
Vergrößern Sie können auch alle Prozesse Ihres Rechners auf einmal nach Viren durchsuchen lassen

Die Option Submit Unknown Executables kann über Options\Virus Total.com\Check Virus Total.com die ausführbare Datei direkt zu Virus Total hochladen, wenn die Datei nicht bereits nach Viren durchsucht wurde. Klicken Sie auf das Suchergebnis, zeigt die Virus Total-Webseite den vermeintlichen Schädling an. Über die Option File Detail , sehen Sie mehr Informationen zu der Datei. Bei Kommentare sehen Sie Benutzerkommentare anderer Benutzer von Virus Total für die Datei.

Bei Virus Totals sehen Sie Informationen zum gefundenen Virus
Vergrößern Bei Virus Totals sehen Sie Informationen zum gefundenen Virus

Zusätzlich zur Möglichkeit nach Viren zu scannen, können Sie mit Search Online im Kontextmenü der Prozesse im Process Explorer auch gezielt nach dem Eintrag im Internet suchen. In den Eigenschaften von Prozessen können Sie das Scanergebnis von Virus Total ebenfalls aufrufen. Mit der Schaltfläche Submit übertragen Sie die Datei erneut zu Virus Total. Mit der Schaltfläche Verifiy in den Eigenschaften des Prozesses können Sie sicherstellen, dass die ausführbare Datei auch vom ausgewiesenen Hersteller stammt und nicht nachträglich verändert wurde.

In den Eigenschaften von Prozessen erhalten Sie weitere Informationen und können Prozesse auch beenden
Vergrößern In den Eigenschaften von Prozessen erhalten Sie weitere Informationen und können Prozesse auch beenden

 

0 Kommentare zu diesem Artikel
2028398