Microsoft Attack Surface Analyzer: checkt, was eine Software-Installation verändert

Ganz frisches Tool aus dem vier Wänden von Microsoft, der Attack Surface Analyzer. Das Programm überprüft, was eine Software-Installation an der Registry, den DLLs, Dateien und Ports gefummelt hat. Quasi Filemon und Regmon in einem Bundle. Ich selber kann nichts dazu sagen, hätte es gerne getestet, aber scheinbar gibt es auf der Downloadseite nur eine Version für Windows mit 64Bit. Habe ich gerade leider nicht zur Hand. (Nachtrag: die 32Bit-Version ist nun online)

Ich zitiere mal die Jungs von Heise Security:

„Um einen Report erstellen zu können, bedarf es eines Scans durch den Analyzer vor der Installation und nach der Installation des zu untersuchenden Programm. In einem kurzen Test der heise-Security-Redaktion mit dem Messenger ICQ unter Windows 7 bemängelte der Attack Surface Analyzer zu niedrig gesetzte Zugriffsrechte auf zahlreichen Installationsdateien. Damit sei es auch Nicht-Administratoren möglich, diese Dateien zu manipulieren. Denkbar wäre es, dass ein Angreifer mit eingeschränkten Rechten anderen Benutzern des gleichen PCs (mit einem anderen Konto) Schadcode unterschiebt.“

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Frank Provon says:

    „Quasi Filemon und Regmon in einem Bundle.“

    Filemon + Regmon = Process Monitor

    via Microsoft:

    „RegMon and FileMon are no longer available for download. They have been replaced by Process Monitor on versions of Windows starting with Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1, and Windows Vista.“

  2. Gibt es so was ähnliches auch für XP-Nutzer?

  3. Stoiberjugend says:

    eines steht fest: profis haben immer ein win x64 system am laufen oder in der ferne am idlen. das tool ist der hammer!

  4. Werd ich bei Gelegenheit testen. Danke für die Info!
    Schade, dass ich heute nur mehr ein 32-Bit-System aufsetze.. ^^

  5. Finde ich ganz interessant! Muss ich mir mal merken bzw. bei Gelegenheit testen. Danke für den Tipp.

  6. naja.. ich finds nicht soo gut. Das Programm dokumentiert alles. Also viel Wirrwar. Ich fände es besser wenn man eine .exe zum Beispiel genau untersuchen kann was sie macht und nicht den Verlauf des ganzen Systems, denn bis man da mal gefunden hat was genau auf die .exe zutrifft dauert es etwas. Trotzdem Danke für den Tipp

  7. sicherlich ein nettes Spielzeug aber da bleib ich derweil lieber bei VM (virtuelle Festplatte auf nonpersistent), installiertes Windows XP 32Bit und Regshot 2.0, weil Regshot gibts in beiden Bit Versionen und ich Ordner und Registryschlüssel ein- und ausschließen kann bei bedarf. Somit auch ein Bundle für Regmon und Filemon.

  8. Von Microsoft?
    Also muss die Idee geklaut sein – wie immer…

    Und tatsächlich, siehe z.B. hier:
    http://www.wintotal.de/softwarearchiv/index.php?rb=30&id=888

  9. Inzwischen liegt auch die x86 Version vor. http://goo.gl/VuCU9

  10. Thomas Wilhelm says:

    Danke für den Tipp – Diff Tools gibts aber schon wie Sand am Meer.
    Im Firmenumfeld ständig und gern benutzt um Installationen sicher auszurollen….
    Gruß
    Thomas

  11. Process Monitor, das war auch meine erste Idee. Musste ich gestern erst wieder verwenden…

  12. Alles schön & gut. Zur Anlayse und zur Entscheidung „Bloß wieder weg damit!“ sicher sehr hilfreich. Aber um den Dreck einer mißglückten bzw. nicht mehr gewollten Installation wieder loszuwerden, müßte so ein Tool in der Lage sein, die mitgeplotteten Änderungen wieder rückgängig zu machen. Gibt’s wohl auch, kostet aber, wenn ich mich recht erinnere, oder?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.