06.12.2011, 10:23

Christian Löbering

Hacker enttarnen

Geheime Hackertools auf dem PC aufdecken

Malware nistet sich oft unentdeckt auf dem PC ein. So erwischen Sie das Ungeziefer trotzdem. ©iStockphoto.com/yuri_arcurs

Wenn der PC für unlautere Zwecke missbraucht wird, merkt man das nicht immer sofort. Wer auf Nummer sicher gehen will, sollte den Datenverkehr mit Spezial-Tools überprüfen.
Um festzustellen, ob Ihr Windows Massenwerbung verschickt, Angriffe durchführt oder Vertrauliches an einen Hacker übermittelt, lassen Sie sich alle Programme anzeigen, die eine Verbindung ins Internet herstellen. Dafür brauchen Sie die Programme Currports und IPnetinfo .
Programme installieren:
Entpacken Sie zunächst die Currports-Version für Ihre Windows-Variante (32- oder 64-Bit) in einen beliebigen Ordner. Dann entpacken Sie das Archiv von IPnetinfo in denselben Ordner und starten anschließend die Programmdatei cports.exe. Daraufhin sehen Sie eine Tabelle mit Programmnamen („Prozessname“), dem Datenübertragungsprotokoll („Protokoll“), der IP-Adresse Ihres PCs („Lokaladresse“), der Adresse des Zielcomputers („Fernadresse“) und der für die Datenübertragung verwendeten Ports („Lokalanschluss“).
Unter „Lokaladresse“ steht in der Regel entweder die interne IP-Adresse Ihres PCs im Netzwerk, etwa „192.168.178.55“, oder die Standardadresse des „Localhost“, also „127.0.0.1“. Diese Tabelle spiegelt nur den Zustand zum Zeitpunkt des Programmstarts wider. Klicken Sie auf „Optionen ➞ Auto-Aktualisieren ➞ jede 2 Sekunden“, um die Analyse alle 2 Sekunden zu wiederholen. Zuletzt setzen Sie noch einen Haken vor „Datei ➞ Änderungen protokollieren“.
Verbindungen analysieren:
Es gibt keine eindeutige Regel, nach der sich gutartige von bösartigen Verbindungen unterscheiden lassen. Die drei wichtigsten Faktoren, das herauszufinden, sind der Programmname („Prozessname“), der lokale Port („Lokalanschluss“) und das Verbindungsziel („Fernadresse“). Klicken Sie zunächst zweimal auf den Spaltentitel „Lokalanschluss“, um die Verbindungen absteigend nach Portnummern zu sortieren. Sollten Programme bei Ihnen Ports aus dem Bereich 49152 bis 65535 („Dynamic Ports“) geöffnet haben, überprüfen Sie den Programmnamen. Sollte einer davon Ihnen nichts sagen, klicken Sie mit der rechten Maustaste auf den Eintrag und wählen im neuen Menü „IPNetinfo“.
Daraufhin öffnet sich ein Fenster mit Informationen zur Adresse des Zielservers. Es werden natürlich nur dann Informationen angezeigt, wenn in der Spalte „Fernadresse“ eine Gegenstelle ermittelt wurde. Handelt es sich um eine vertrauenswürdige Gegenstelle, etwa Google, ist die Verbindung sicherlich unproblematisch. Andernfalls klicken Sie mit der rechten Maustaste auf den Eintrag und wählen dann den Menüpunkt „Anschlusseigenschaften“. Im folgenden Fenster finden Sie in der Zeile „Prozesspfad“ den Pfad zum Programm.
Falls in der Zeile „Moduldateiname“ etwas steht, ist das in der Regel der tatsächliche Urheber der Verbindung. In der Zeile „Prozess-ID“ finden Sie die Kennung des Prozesses. Merken Sie sich Pfad sowie Kennung, und klicken Sie auf „OK“, um das Fenster zu schließen.
Außerdem markiert Currports automatisch alle Programmeinträge pinkfarben, die weder über Versionsinformationen noch über ein Programmsymbol verfügen. Solche Einträge sind ebenfalls verdächtig. Es kann aber – wie im Fall von Mysql- oder Oracle-Servern – auch ein Fehlalarm sein. Eine englischsprachige Wikipedia-Seite zeigt Ihnen eine Liste aller definierten TCP- und UDP-Ports und den zugeordneten Programmen.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

1163382
Content Management by InterRed