Verhalten von Programmen mit dem Process Monitor untersuchen

Vielleicht hast du schon mal gehört, dass ein Virenscanner ein Programm aufgrund seines Verhaltens als gefährlich einstuft. Doch wusstest du, dass du selbst herausfinden kannst, welche Dateien, Registry-Einträge oder Netzwerkressourcen ein Programm nutzt?

Mit dem Process Monitor kannst du genau das machen und so verdächtige Aktivitäten auf deinem System erkennen. Klingt das spannend für dich? Dann lass uns starten!

Der Process Monitor ist ein kostenloses Tool von Microsoft Sysinternals, mit dem du Systemaktivitäten wie Datei- und Registry-Zugriffe, Prozessstarts und Netzwerkaktivitäten überwachen kannst.

Es eignet sich besonders gut, um Probleme zu analysieren oder unerwünschtes Verhalten von Programmen zu entdecken.

Im Gegensatz zu anderen Tools wie Sysmon, das langfristig Daten sammelt, liefert dir der Process Monitor Echtzeitanalysen. Das macht ihn ideal für gezielte Untersuchungen.

Du kannst den Process Monitor direkt von der Microsoft Sysinternals-Webseite (learn.microsoft.com/en-us/sysinternals/downloads/procmon) herunterladen.

Stelle sicher, dass du die richtige Version für dein System wählst, entweder Procmon.exe für 32-Bit oder Procmon64.exe für 64-Bit-Systeme.

Nach dem Start des Programms öffnet sich direkt die Benutzeroberfläche, und die Überwachung beginnt automatisch.

Bevor wir ins Detail gehen, stoppe die automatisch gebinnende Aufzeichnung mit der UTastenkombination "Strg + E"e, um zunächst alles einzurichten.

Die Aufzeichnung von Ereignissen beginnt immer automatisch nach dem Start des Process Monitors.

Um die Datenflut zu stoppen, drücke einfach "Strg + E". Das Hauptfenster zeigt eine chronologische Liste aller Aktionen.

In der Spalte "Process Name" siehst du, welches Programm eine Aktion ausgeführt hat.

Unter "Operation" steht, welche Art von Zugriff durchgeführt wurde, zum Beispiel zeigt RegQueryValue an, dass ein Programm einen Registry-Wert abfragt.

Diese Details sind entscheidend, um das Verhalten eines Programms genau zu analysieren.

Die Fülle an Daten kann überwältigend sein. Aber keine Sorge, mit Filtern kannst du die Informationen auf das Wesentliche eingrenzen.

Klicke auf das "Symbol mit der Zielscheibe", halte die linke Maustaste gedrückt und ziehe das Fadenkreuz auf das Fenster des Programms, das du untersuchen möchtest.

Danach gehst du auf "Filter –› Filter". Hier kannst du weitere Bedingungen hinzufügen, etwa 'Event Class is Network include', wenn du nur Netzwerkzugriffe sehen willst.

Vergiss nicht, deine Filter mit Add hinzuzufügen und das Speichern mit OK zu bestätigen.

Wie erkennst du, ob ein Programm verdächtig ist?

Ein Beispiel:

Wenn ein unbekanntes Programm permanent Registry-Werte abfragt oder ungewöhnliche Netzwerkverbindungen aufbaut, könnte das ein Hinweis auf Schadsoftware sein.

Schau dir besonders die Spalten "Path" und "Detail" an. Sie liefern oft Hinweise darauf, was genau passiert.

Für fortgeschrittene Analysen kannst du die Filter zurücksetzen und komplett neu definieren.

Gehe dazu auf ""Filter –› Filter" und klicke auf "Reset".

Wenn du beispielsweise nur Zugriffe eines bestimmten Programms sehen möchtest, wähle "Process Name", setze "is" und gib den vollständigen Programmnamen ein, inklusive ".exe".

Ergänzend kannst du weitere Bedingungen wie "Event Class is File System include" hinzufügen, um Dateizugriffe zu überwachen.

Ein weiterer Tipp, der nützlich sein kann ist folgender. Mit der Tastenkombination "Strg + X" kannst du alle bisherigen Ereignisse löschen und mit "Strg + E" eine neue Aufzeichnung starten.

Nutze auch die Schalter in der Symbolleiste, um schnell zwischen Registry-, Netzwerk- und Dateizugriffen zu wechseln.

Und wenn du tiefer in die Systemanalyse einsteigen möchtest, probiere das Tool "Sysmon" aus.

Es bietet langfristige Protokollierung und ist besonders nützlich bei der Untersuchung von Hacker-Aktivitäten.

Mit dem Process Monitor hast du ein mächtiges Werkzeug in der Hand, um verdächtige Aktivitäten auf deinem System zu analysieren.

Es erfordert ein wenig Übung, aber mit den richtigen Filtern kannst du gezielt herausfinden, was auf deinem Computer passiert.

Wenn du tiefer einsteigen willst, findest du auf der Webseite von Microsoft Sysinternals weitere Erläuterungen, Hilfestellungen und andere hilfreiche Tools. Viel Erfolg bei deinen Analysen!

Damit sind wir auch schon am Ende mit unserem Tutorial. Wir hoffen natürlich, dass dieses Tutorial nützlich für dich war und wünschen dir noch viel Spaß mit unseren vielen anderen Tutorials auf Heimnetzwerk-und-Wlan-Hilfe.com.