von Thomas
Erstellt am 27.01.2023
Procmon ist ein von Mark Russinovich entwickeltes Tool, zum Monitoren von Prozessen in Echtzeit. Neben den Prozessen an sich, kann Procmon beispielsweise Events des Dateisystems, des Netzwerks und der Windows-Registry aufzeichnen. Ein wichtiges Feature von Procmon ist dabei die Filter-Funktion, sie ermöglicht es dem Nutzer gezielt nach einzelnen Events zu suchen und zu analysieren. Dabei kann bei der Suche spezielle Filter-Funktionen angewendet werden, um die Suche genauer zu gestalten. Eine mögliche Filter-Funktion ist zum Beispiel die Prozess ID (PID) oder ein String für den Pfad.
Procmon bietet eine Vielzahl von Einsatzmöglichkeiten. Eine Möglichkeit, auf die ich in diesem Artikel mit einem kleinem Tutorial eingehen möchte, ist die Nutzung in der IT-Forensik. Procmon kann genutzt werden um verdächtige Aktivitäten zu erkennen, die sonst nicht direkt oder nur sehr schwer zu erkennen sind. Dazu gehört zum Beispiel das Verhalten von vielleicht noch getarnter Malware. Im Folgenden möchte ich eine mögliche Beispiel-Analyse mit Procmon beschreiben. In dem Beispiel ist sich vorzustellen, dass ein Windows System mit einer Malware komprimiert ist, welche in regelmäßigen Abständen Dateien auf dem Desktop erstellt, um eine mögliche Persistenz im Betriebssystem zu erlangen.
Das Tool kann direkt auf der Webseite von Microsoft heruntergeladen werden. Nach dem Starten des Programms, kann eine Aufzeichnung über File -> Caputre Events gestartet werden.
Anschließen füllt sich Procmon mit etlichen Events. Da diese Events auf Grund der Fülle schnell unübersichtlich sind, bietet Procmon die Möglichkeit Events zu Filtern. Die Filter-Optionen die zur Verfügung stehen sind folgende:
Aber selbst die Event-Filter können schnell unübersichtlich werden, sodass Procmon Möglichkeiten bietet eine Suche feingranularer zu gestalten. Dazu können die Filter unter Filter -> Filter… eingestellt werden.
In den Process Monitor Filter gibt es 27 verschiedene Einstellungsmöglichkeiten. Einer davon ist beispielsweise der Pfad. Möchte ich nach jedem Event suchen, welches mit dem Desktop in irgendeiner Weise in Verbindung steht, kann mit Hilfe von contains danach gefiltert werden.
Somit kann die in diesem Fall laufende Malware schnell enttarnt werden. Procmon zeigt dabei etliche Informationen zu dem Event an. Mit einem Doppelklick auf ein Event, können wichtige Informationen abgelesen werden, wie beispielsweise die PID, Parent PID oder Name.