exe Datei verfolgen

Hallo ich möchte nachvollziehen woher eine exe Datei ihren input bekommt. Gibt es Software die aufgezeichnet welche Dateien von der exe geöffnet werden.

Vielen Dank

Max

Answer 1

[TeeTier]

Guck dir mal die SysInternals Tools an, insbesondere den "Process Monitor". Damit kannst du dir anzeigen lassen, wie genau auf Dateien und Registry zugegriffen wird, und welche Schreib-/Lesevorgänge erfolgreich verlaufen oder Fehler verursachen.

Wenn du noch mehr über deine unbekannte EXE-Datei wissen willst, solltest du dich mit Reverse Engineering beschäftigen, und das Programm in einem Debugger durchsteppen.

Mit einem Debugger erfährst du dann ganz genau, was die EXE macht, und kannst Variablen, Speicher und sogar den Programmcode zur Laufzeit verändern.

So ein Reversing mit dem Debugger erfordert allerdings viel Know-How, sodass du dich vermutlich erst mal mehrere Wochen oder eher Monate einarbeiten müsstest.

Für einen ersten Überblick sollten aber die SysInternals Tools reichen. Die kannst du kostenlos bei Microsoft runterladen:

https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

Dieses Paket enthält viele kostenlose Werkzeuge für die Analyse von System und Software. Das Programm, was für dich interessant sein dürfte, ist der "Process Monitor".

PS: Falls du Schadsoftware analysieren möchtest, mach das auf jeden Fall in einer VM oder auf einem sonst unbenutzten Zweitcomputer. Allerdings erkennt die meiste Malware eine VM, einen Debugger oder die SysInternals Tools, und beendet sich einfach ohne weitere Schadfunktion.

Mit einem Debugger kann man theoretisch ALLE Schutzmechanismen einer Malware umgehen, und einem Trojaner zwar vorgaukeln, dass er NICHT in einer VM läuft, obwohl er sich in VirtualBox befindet, aber ich fürchte, das übersteigt deine Fähigkeiten.

Trotzdem ist Reversing verdammt interessant, und wenn du Zeit und Lust hast, beschäftige dich ruhig mal damit! :)

Viel Spaß! :)

Answer 2

[Suboptimierer]

In der Microsoft Management Konsole kannst du dir das anzeigen lassen:

1. [Win] + r
2. mmc[Enter]
3. [Strg] + m
4. SnapIn "Freigegebene Ordner" hinzufügen 
5. Ansicht: geöffnete Dateien; zu analysierenden Computer angeben

Woher ich das weiß: Studium / Ausbildung – Fachinformatiker - Anwendungsentwicklung

Answer 3

[artuf]

Hey schon mal vielen Dank für die Antworten. Die helfen mir echt weiter. Bei dem Programm handelt es sich zu 100% nicht um einen Virus. Ich kann es auch ohne Probleme ausführen.

Es wurde vor längerer Zeit von einen Kollegen, der nicht mehr erreichbar ist, geschrieben. Leider haben wir auch keinen Zugriff auf den Quellcode. Es ist aber davon auszugehen das er nichts besonders verschlüsselt hat. Wir wollen uns jetzt anschauen woher er welche Daten zieht und schlussendlich alles neu programmieren.

Answer 4

[kreuzkampus]

Du bist bei einer exe.datei, die Du nicht öffnest, neugierig? Finger weg von allem, was damit zu tun hat.

Answer 5

[HaythemKenway]

Manche viren lassen sich selbst löschen, indem sie andere dateien starten die dann den viruserzeuger löschen um keine aufmerksamkeit zu erregen. Wie man das rausbekommt weiß ich nicht. Ich weiß nur wie man selbst soetwas programmiert. Vlt gibts ja ne art ereignislog in dem dieser vorgang hinterlegt wird.... Aber wie du dann genau das finden sollst was du brauchts weiß ich auch nicht.