PathScan

Was tut das Programm?
Durch ein kleines Sicherheitsloch in Windows ist es möglich, Pfade zu laufenden EXE Dateien und DLLs so umzubiegen, dass diese nicht mehr auf die wirklich laufenden Dateien zeigen, sondern auf andere, die in Wirklichkeit gar nicht laufen. Szenario dazu: Malware injiziert über ein Injektorprogramm eine DLL in den WindowsExplorer - wir nennen diese DLL mal malware.dll. Nach der Injektion biegt diese DLL in der "Registrierungsstruktur für DLLs" im Speicher den Pfad zur DLL so um, das dieser auf die System-DLL wininet.dll zeigt. Im Explorer läuft nun weiterhin die malware.dll, sämtliche Programme zum Listen ausgeführter DLLs zeigen aber an, das wininet.dll im Windows Systemverzeichnis ausgeführt wird (mit Hersteller Microsoft, Beschreibung und Dateigröße der wininet.dll. Zwar ist der Injektor in der Regel über seine Starteintrag aufzufinden - es gibt aber Tricks, diesen verschwinden zu lassen, solange Windows läuft. PathScan soll Prozesse ausfindig machen, deren Pfade nicht korrekt sind - das ist Sinn der Sache. Dafür gibt es bislang scheinbar nichts. PathScan ist quasi der kleine, etwas abgespeckte, Bruder von Path-Scout-2 (von Horst Horn). Da Path-Scout-2 nicht auf kleineren Auflösungen funktioniert, gibt es jetzt dieses Programm hier.



Kommentare können hier durch einen Klick auf Kommentare abgegeben werden.

Impressum