Mit dem Programm Sysmon ist die beliebte Werkzeugsammlung von Microsoft Sysinternals um ein neues Tool zum Aufspüren verdächtiger Aktivitäten auf Windows-Rechnern gewachsen.
Zum ersten Mal seit langer Zeit hat Mark Russinovich die Werkzeugsammlung von Microsoft Sysinternals [1] mal wieder erweitert: Sysmon [2] heißt das neue Tool und soll Administratoren dabei unterstützen, verdächtige Aktivitäten auf ihren Windows-Rechnern zu entdecken. Dazu installiert es einen Dienst, der Einträge ins Ereignis-Log schreibt, die man dann anschließend mit beliebigen Werkzeugen analysieren kann.
Standardmäßig protokolliert Sysmon zwei Arten von Aktivitäten: Zum einen verzeichnet es jeden Start eines neuen Prozesses und hält dabei unter anderem die komplette Befehlszeile, einen Hash über die zugehörige EXE-Datei sowie Informationen zu dem Vaterprozess fest, der das neue Programm gestartet hat. Zum anderen protokolliert Sysmon, wenn ein Prozess das Änderungsdatum einer beliebigen Datei überschreibt. Mit solchen Operationen versuchen Viren gerne zu vertuschen, dass sie eine bestimmte Systemdatei infiziert haben.
Per Kommandozeilenschalter kann man Sysmon darüber hinaus anweisen, den Aufbau von TCP/IP-Verbindungen zu protokollieren, wobei der auslösende Prozess sowie Quell- und Zieladressen und -ports im Log landen.
Der Sysmon-Dienst überlebt einen Windows-Neustart und startet sehr früh im Verlauf des Boot-Prozesses. Dadurch soll er auch Aktivitäten von ausgeklügelter Malware aufzeichnen können, die in Form eines Kernel-Treibers daherkommt. (hos [3])
Deutsche Shclagzeilen Computer News