Microsoft Attack Surface Analyzer: checkt, was eine Software-Installation verändert
von caschy | 12 Kommentare
Ganz frisches Tool aus dem vier Wänden von Microsoft, der Attack Surface Analyzer. Das Programm überprüft, was eine Software-Installation an der Registry, den DLLs, Dateien und Ports gefummelt hat. Quasi Filemon und Regmon in einem Bundle. Ich selber kann nichts dazu sagen, hätte es gerne getestet, aber scheinbar gibt es auf der Downloadseite nur eine Version für Windows mit 64Bit. Habe ich gerade leider nicht zur Hand. (Nachtrag: die 32Bit-Version ist nun online)
Ich zitiere mal die Jungs von Heise Security:
„Um einen Report erstellen zu können, bedarf es eines Scans durch den Analyzer vor der Installation und nach der Installation des zu untersuchenden Programm. In einem kurzen Test der heise-Security-Redaktion mit dem Messenger ICQ unter Windows 7 bemängelte der Attack Surface Analyzer zu niedrig gesetzte Zugriffsrechte auf zahlreichen Installationsdateien. Damit sei es auch Nicht-Administratoren möglich, diese Dateien zu manipulieren. Denkbar wäre es, dass ein Angreifer mit eingeschränkten Rechten anderen Benutzern des gleichen PCs (mit einem anderen Konto) Schadcode unterschiebt.“
Wird geladen ...
„Quasi Filemon und Regmon in einem Bundle.“
Filemon + Regmon = Process Monitor
via Microsoft:
„RegMon and FileMon are no longer available for download. They have been replaced by Process Monitor on versions of Windows starting with Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1, and Windows Vista.“
Gibt es so was ähnliches auch für XP-Nutzer?
eines steht fest: profis haben immer ein win x64 system am laufen oder in der ferne am idlen. das tool ist der hammer!
Werd ich bei Gelegenheit testen. Danke für die Info!
Schade, dass ich heute nur mehr ein 32-Bit-System aufsetze.. ^^
Finde ich ganz interessant! Muss ich mir mal merken bzw. bei Gelegenheit testen. Danke für den Tipp.
naja.. ich finds nicht soo gut. Das Programm dokumentiert alles. Also viel Wirrwar. Ich fände es besser wenn man eine .exe zum Beispiel genau untersuchen kann was sie macht und nicht den Verlauf des ganzen Systems, denn bis man da mal gefunden hat was genau auf die .exe zutrifft dauert es etwas. Trotzdem Danke für den Tipp
sicherlich ein nettes Spielzeug aber da bleib ich derweil lieber bei VM (virtuelle Festplatte auf nonpersistent), installiertes Windows XP 32Bit und Regshot 2.0, weil Regshot gibts in beiden Bit Versionen und ich Ordner und Registryschlüssel ein- und ausschließen kann bei bedarf. Somit auch ein Bundle für Regmon und Filemon.
Von Microsoft?
Also muss die Idee geklaut sein – wie immer…
Und tatsächlich, siehe z.B. hier:
http://www.wintotal.de/softwarearchiv/index.php?rb=30&id=888
Inzwischen liegt auch die x86 Version vor. http://goo.gl/VuCU9
Danke für den Tipp – Diff Tools gibts aber schon wie Sand am Meer.
Im Firmenumfeld ständig und gern benutzt um Installationen sicher auszurollen….
Gruß
Thomas
Process Monitor, das war auch meine erste Idee. Musste ich gestern erst wieder verwenden…
Alles schön & gut. Zur Anlayse und zur Entscheidung „Bloß wieder weg damit!“ sicher sehr hilfreich. Aber um den Dreck einer mißglückten bzw. nicht mehr gewollten Installation wieder loszuwerden, müßte so ein Tool in der Lage sein, die mitgeplotteten Änderungen wieder rückgängig zu machen. Gibt’s wohl auch, kostet aber, wenn ich mich recht erinnere, oder?