Hintergrund / Background

Monitoring Tool "Process Monitor"

Download

Einrichtung für Datei-Überwachung / Configuration for file monitoring

Ergebnis / Result

Hintergrund / Background

Bei einem Kunden mit einer ERP-Installation (Sage 100) war auffällig , dass eine eigene von uns erstellte .net-Assembly regelmäßig aus dem Haupt-Anwendungsfpad des ERP-Systems entfernt wurde.

Laut Kundenaussage war der Anwendungspfad der ERP-Anwendung bereits in der Security-Software als Ausnahme eingetragen.

Dennoch wurde die Datei regelmäßig gelöscht und es musste nachgewiesen werden , dass die Security-Software trotzdem aktiv wurde und die .net-Assembly entfernte.

At a customer site with an ERP installation (Sage 100) , it was noticeable that a custom .net assembly we had created was regularly removed from the ERP system’s main application path.

According to the customer , the application path of the ERP solution had already been added as an exception in the security software.

Nevertheless , the file was regularly deleted, and it had to be proven that the security software was still being triggered and was definitely removing the .net assembly.

Monitoring Tool "Process Monitor"

Mit dem Tool "Process Monitor" (Procmon64.exe) aus der kostenlosen SysInternals Suite von Microsoft war sehr leicht und schnell ein Monitoring eingerichtet.

Using the “Process Monitor” tool (Procmon64.exe) from Microsoft’s free SysInternals Suite , monitoring was set up very easily and quickly.

Download

learn.microsoft.com

Monitor file system, Registry, process, thread and DLL activity in real-time.

Einrichtung für Datei-Überwachung / Configuration for file monitoring

Es handelt sich um ein einfaches XCOPY-Tool , welches man in einen beliebigen Ordner kopiert und dann - wichtig - explizit mit Administrator-Rechten über die rechte Maustaste öffnen muss.

Im Tool selber findet man im oberen Bereich einen einfachen Filter-Button.

Diesen benutzt man , um individuelle Filter hinzuzufügen. Das folgende Beispiel zeigt wie man das Löschen einer Datei überwachen kann.

It is a simple XCOPY tool which can be copied into any folder and then - importantly - must be explicitly opened with administrator rights via the right mouse button. Within the tool itself, there is a simple filter button at the top. This is used to add individual filters. The following example shows how to monitor the deletion of a file.

Man kann beliebige Filter hinzufügen. Nachfolgend einige Screenshots , die das Grundprinzip erklären.

You can add any filters you like. Below are a few screenshots that explain the basic principle.

Um das Löschen einer Datei zu überwachen , müssen in Summe folgende Filter hinzugefügt werden.

In order to monitor the deletion of a file, the following filters must be added in total.

Zum Schluss ist es wichtig , die Überwachung auch mit dem richtigen Schalter zu aktivieren.

Finally, it is important to activate the monitoring using the correct switch.

Ergebnis / Result

Für diese Lösch-Demonstration haben wir das Tool "Total Commander" verwendet , um die besagte .net-Datei aus dem Sage Anwendungspfad zu löschen und die Protokollierung funktionierte problemlos.

Auf dieselbe Weise konnten wir beim Kunden nachweisen , dass sehr wohl die dortige Security-Software die besagte .net-Datei immer wieder in Quarantäne verschoben hatte.

Ursache war ein Fehlalarm durch heuristische Algorithmen in der Security-Software , die einige .net-Funktionen wie harmlose URL-Zugriffe über WinAPI in der .net-Datei als Risiko bewerteten.

Der Kunde war somit - entgegen seiner Aussage - nicht den Empfehlungen gefolgt , die Sage Anwendungspfade als Ausnahmen in der Security-Software hinzuzufügen und die Ordner stattdessen bei Bedarf gezielt manuell nach Updates / Installationen einzeln zu scannen.

⚠️Das Beispiel zeigt , wie risikoreich Live-Scan-Mechanismen von Security Software sein kann (vom Performance-Verlust durch die permanenten Scan-Aktionen abgesehen!).

For this deletion demonstration, we used the tool “Total Commander” to delete the aforementioned .NET file from the Sage application path , and the logging worked without any issues.

In the same way, we were able to prove at the customer site that the local security software had indeed repeatedly moved the .net file into quarantine.

The cause was a false positive triggered by heuristic algorithms in the security software, which assessed certain .NET functions - such as harmless URL access via WinAPI within the .NET file - as a risk.

Consequently, the customer had not - contrary to their statement - followed the recommendations to add the Sage application paths as exceptions in the security software , and instead to manually scan the folders individually for updates/installations when required by the situation.

⚠️This example illustrates how risky live-scan mechanisms in security software can be (not to mention the performance loss caused by constant scanning activities!).