Einführung in IceSword - Log Process/Thread Creation
![[Screenshot]](http://photos1.blogger.com/blogger/662/2702/1600/Capture-24.jpg)
Beschreibung
Log Process/Thread Creation ist - zusammen mit Reboot and Monitor - eine der nützlichsten Funktionen von IceSword. Hier werden in einer einfachen Liste die letzten 1024 erzeugten Prozesse und Threads angezeigt.
Die Bedeutung der einzelnen Spalten ist dabei relativ selbsterklärend: Creator ist der erzeugende, Created ist der erzeugte Prozess/Thread. Die Einträge sind farblich kodiert. Jeder Prozess hat mindestens einen Thread.
Schwarz: Prozess erzeugt internen Thread.
Blau/ Grün: Prozess erzeugt neuen (anderen) Prozess/Thread.
Rot: Prozess erzeugt neuen Thread in einem fremden Prozess.
Die Aufzeichnung der Prozesse erfolgt durch den Treiber von IceSword, der normalerweise beim ersten Start geladen wird. Die Liste fängt also an mit dem Start von IceSword. Da der Treiber bis zum nächsten Reboot geladen bleibt, wird die Liste im Hintergrund weitergeführt, auch wenn man IceSword beendet.
Auf was man achten sollte
Die roten Einträge sollte man sich besonders genau ansehen. Das Erzeugen von einem Thread in einem fremden Prozess ist ein typisches Merkmal von Code-Injection bzw. DLL-Injection.
Teilweise wird dieses Vorgehen aber auch vom Betriebssystem selbst benutzt. Wie immer liegt es am Benutzer, zu entscheiden was eine Bedrohung ist. Nicht-System Prozesse, die Threads in Systemprozessen erzeugen, sollte man sich ganz besonders genau ansehen.
Vorsicht:
IceSword zeigt hier nur die Dateinamen an, nicht den Pfad. Diverse Schadprogramme tragen den gleichen Dateinamen wie Systemprogramme, haben aber einen anderen Pfad. Man studiere dazu den Kernel Module Artikel (den Teil über digitale Signaturen und verwirrende Dateinamen).
Merke: Die Welt ist böse und vom Teufel beherrscht.
![[Screenshot]](http://photos1.blogger.com/blogger/662/2702/1600/is0-Capture-2.jpg)
Reboot and Monitor
Mit der Funktion File->Reboot and Monitor im Hauptmenü von IceSword kann man die Prozesserzeugung von Anfang an aufzeichnen. Wenn man diesen Menüpunkt auswählt, wird der Rechner neu gestartet. Wenn man dann IceSword öffnet, werden unter Log Process/Thread Creation alle Prozesse angezeigt, die während des Startvorgangs erzeugt wurden.
Bei entsprechend gründlicher Überprüfung dieser Liste sollte man so gut wie jedes Schadprogramm finden (jedes, das als eine EXE Datei vorliegt, DLLs oder Treiber werden nicht angezeigt).
Andere Werkzeuge
GMER. Etwas instabil, aber nützlich. Hat eine Logging-Funktion, die auch geladene Treiber anzeigt.
0 Kommentare:
Kommentar veröffentlichen (Editor öffnet sich in Popup-Fenster) Smilies