PathScan
Was tut das Programm?
Durch ein kleines Sicherheitsloch in Windows
ist es möglich, Pfade zu laufenden EXE Dateien
und DLLs so umzubiegen, dass diese nicht mehr
auf die wirklich laufenden Dateien zeigen, sondern
auf andere, die in Wirklichkeit gar nicht laufen.
Szenario dazu: Malware injiziert über ein
Injektorprogramm eine DLL in den
WindowsExplorer - wir nennen diese
DLL mal malware.dll. Nach der Injektion biegt
diese DLL in der "Registrierungsstruktur für DLLs"
im Speicher den Pfad zur DLL so um, das dieser
auf die System-DLL wininet.dll zeigt. Im Explorer
läuft nun weiterhin die malware.dll, sämtliche
Programme zum Listen ausgeführter DLLs zeigen
aber an, das wininet.dll im Windows Systemverzeichnis
ausgeführt wird (mit Hersteller Microsoft, Beschreibung
und Dateigröße der wininet.dll. Zwar ist der Injektor
in der Regel über seine Starteintrag aufzufinden - es
gibt aber Tricks, diesen verschwinden zu lassen,
solange Windows läuft. PathScan soll Prozesse
ausfindig machen, deren Pfade nicht korrekt
sind - das ist Sinn der Sache. Dafür gibt es
bislang scheinbar nichts.
PathScan ist quasi der kleine, etwas abgespeckte,
Bruder von Path-Scout-2 (von Horst Horn). Da
Path-Scout-2 nicht auf kleineren Auflösungen
funktioniert, gibt es jetzt dieses Programm hier.
Kommentare können hier durch einen Klick auf Kommentare abgegeben werden.
Impressum