Process Explorer is een tool waarmee alle draaiende processen op een Windows systeem kunnen worden weergegeven. Tevens geeft het programma aan welke DLL's deze processen gebruiken. Door de integratie met VirusTotal kan het programma tevens aangeven hoeveel scanners een proces als malware identificeren.
Voorbeeld
In het onderstaande voorbeeld is zichtbaar dat het proces PCOPInfo.exe door 6 van de 50 virusscanners waarmee virustotal het bestand heeft gescand hebben aangegeven dat het een malware-bestand is.
De controle wordt uitgevoerd door een hash van het bestand naar VirusTotal te sturen. Deze kijkt vervolgens of het bestand eerder voor scanning is aangeboden. Is dat het geval dan zal het resultaat worden teruggegeven. Indien het proces niet bekend is bij VirusTotal, dan wordt dit in Process Explorer aangegeven met de tekst: "The system cannot find the file specified". Door op de link te klikken (laatste kolom) krijgt met het volledige scanrapport van VirusTotal te zien:
In dit voorbeeld word bij Analysis date ook aangegeven dat de resultaten worden getoond van een scan die 1 uur en 21 minuten daarvoor is uitgevoerd.
Overigens is het aangeboden bestand (PCOPInfo.exe) vrij van malware en is er dus sprake van zogenaamde False Positives ;)
Geen opmerkingen:
Een reactie posten