Datenstrom einer Datei überwachen
 

Hallo Community,

ich habe eine Datei erhalten, bei der ich gerne herausfinden möchte, was diese tut.
Von außen kann ich es ihr leider nicht ansehen.
Ich könnte sie in einer VM testen und die Images vorher und nachher vergleichen, aber das währe mir für mehrere Dateien zu umständlich.

Ist es möglich die Anfragen/Datenströme dieser Datei abzufangen und zu protokollieren?

Ich hatte in die Richtung gedacht, die Datei innerhalb eines Programms zu starten. Doch wie kann ich das umsetzen?

Ich hoffe ihr könnt mir da weiterhelfen.
Gruß

AW: Dateinstrom einer Datei überwachen
 

Würden auch die Informationen des Process Explorers genügen?

AW: Dateinstrom einer Datei überwachen
 

Was vermutest du das die datei macht?
Vermutest du Virus/Wurm (also ist es ein Executable) oder willst du wissen was der Inhalt dieser Datei ist?

AW: Dateinstrom einer Datei überwachen
 

Es ist eine Executable (PE-Format)

Da die Informationen sehr umfangreich sind werde ich ein wenig brauchen, um die Informationen begreifen.

AW: Datenstrom einer Datei überwachen
 

Der Process Explorer ist noch nicht wirklich sehr umfangreich, evtl. meinte DeddyH den Process Monitor? Und auch das ist noch nicht wirklich viel...

Cuckoo, oder Anubis als fertiger Dienst, bieten sich evtl. eher an, bieten mehr wichtige Infos, brauchen natürlich noch mehr wissen um interpretiert zu werden.

AW: Datenstrom einer Datei überwachen
 

Das kannst die Exe auch in einer Sandbox starten.
Der Vorteil ist, dass das Programm mit ~99,9% Geschwindigkeit läuft und nachdem das Programm gelaufen ist kann man ganz bequem nachschauen, welche Dateien und Registryeinträge das Programm angelegt hat.

Häufig gibt es ja Programme (Tools), die nur aus einer Exe und einer Readme-Datei bestehen; aber man ist gezwungen ein Installationprogramm laufen zu lassen.
Also lasse ich das Installationprogramm in einer Sandbox laufen und kann dann die Exe + Readme kopieren und so ohne Installation benützen.

AW: Datenstrom einer Datei überwachen
 

Da merowinger an Malware-Analyse interessiert zu sein scheint, halte ich diese Empfehlung für extrem gefährlich! Manche Malware-Samples brechen sogar aus virtuellen Maschinen aus,da bezweifle ich, dass Sandboxie dicht genug für ist...

AW: Datenstrom einer Datei überwachen
 

Na das muss er dazu sagen.
Dann kommt nur eine VM in Frage.
Oder auch eine Sandbox innerhalb der VM weil man über die Sandbox relativ leicht sehen kann welche Dateien und Registrykeys angelegt wurden.
Sandboxie schlägt normalerweise auch an, wenn Dienste und/oder Systemtreiber installiert werden.
Ein kleverer Virus kann die Sandbox überwinden, aber dadurch dass der Virus innerhalb der Sandbox läuft beommt man mehr Infos über sein Verhalten.

AW: Datenstrom einer Datei überwachen
 

Oder er erkennt die Sandbox/VM und macht: nichts :mrgreen:
Aber einen Versuch ist es vielleicht wert.