Manchmal ist es notwendig, herauszufinden wer oder was eine Datei erstellt. Dank eines Tools ist die Aufgabe schnell erledigt.
In diesem Beispiel meldete der Securepoint Antivirus Pro bei einem Kunden regelmäßig, sprich alle 10 Minuten, temporäre Dateien:
Nun Stand die Frage im Raum wie man herausfinden könnte, welche Anwendung oder welcher Prozess diese Dateien erzeugt. Anhand des Dateinamens konnte in diesem Fall schon mal nach einer knappen Recherche festgestellt werden, das die Anwendung bzw. der Prozess vermutlich in der Programmiersprache Delphi geschrieben ist.
Um nun schnell und einfach den Ursprung ermitteln zu können, wurde einfach der Process Monitor auf dem betroffenen System heruntergeladen und gestartet. Damit man nun die benötigten Treffer erhält wurde zuerst über die Symbolleiste lediglich die Anzeige von Dateisystem-Aktivitäten (“Show File System Activity”) aktiviert bzw. der Rest deaktiviert.
Als nächstes wurde ein Filter (Trichter-Symbol, sechstes Symbol von links) wie folgt gesetzt:
Path contains C:\Windows\Temp\Indy Include
Wie man sieht, kann man im Pfad einen Teil des Dateinamens einbauen, dies ist sehr hilfreich um die Zugriffe besser eingrenzen zu können. Beim nächsten Durchlauf sah man dann auch gleich den betroffenen Prozess:
Die “TMMS.exe” gehört zum Taifun MailServer, der Archivierungslösung die Teil der Taifun-Handwerker-Software ist.
Da Pfad-Ausnahmen in diesem Fall nicht ausreichten, wurde der Prozess als Ausnahme im Virenschutz definiert und die Meldungen hörten auf.
Umgekehrt, gemeint ist mit einem Filter auf den “Process Name” lässt sich feststellen, welche Zugriffe ein Programm vornimmt. Dies ist z.B. hilfreich bei Rechte-Problemen (Stichworte: Access denied, Zugriff verweigert).
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar