Een andere taak waarbij Process Explorer een waardevolle tool kan zijn, is het zoeken naar virussen, backdoors en vergelijkbare onraad. Voor dat doel moet je eerst de kolom ‘Verified Signer’ tevoorschijn toveren (bij de ‘Select Columns’-dialoog kun je die vinden op het tabblad ‘Process Image’). Om het overzicht te houden kun je die het beste naast de kolom ‘Company Name’ zetten. Om waarden in die kolommen te krijgen, moet de menu-optie ‘Options / Verify Images Signatures’ wel ingeschakeld zijn.
Om alle draaiende processen waar het exe-bestand geen geldige signatuur van heeft als gevaarlijk te oormerken, is dan wat te kort door de bocht. Maar je moet wel wantrouwig worden als er in het veld ‘Company Name’ de naam van een bekende softwareproducent als Microsoft, Apple of Google staat en er geen, een ongeldige of een op een andere bedrijfsnaam uitgegeven certificaat is. Maar ook daar zijn er weer uitzonderingen op: UWP-apps zoals de in Windows zittende apps voor Weer, Berichten en Kaarten hebben in principe geen certificaat – in ieder geval niet een dat Process Explorer kan interpreteren. De integriteit van uitvoerbare bestanden wordt door Windows bij het starten van de betreffende apps op andere manieren gecontroleerd.
VirusTotal integratie
Een andere manier om het potentiële gevaar van programmabestanden in te schatten, is ze door een of meerdere virusscanners te laten controleren. Dat maakt Process Explorer heel makkelijk, het programma heeft namelijk een interface naar Googles viruswebsite VirusTotal, waar je verdachte bestanden door meer dan 60 antivirusprogramma’s kunt laten testen. Om die feature te gebruiken, moet je eerst ‘Options / VirusTotal.com / Check VirusTotal.com’ in het menu inschakelen en bij de eerste keer bevestigen dat je de gebruiksvoorwaarden van de website accepteert. Op de tabbladen ‘Process Image’ en ‘DLL’ van de ‘Select Columns’-dialoog kun je vervolgens voor de proceslijst en de DLL-weergave bij de Lower Pane de kolom VirusTotal inschakelen.
De kolom bevat na een korte wachttijd in het ideale geval alleen waarden in de vorm van ‘0/70’, waarbij het getal achter de schuine streep licht kan variëren. Het getal voor de streep geeft aan hoeveel van de op VirusTotal.com verzamelde malware-scanners dat bestand als verdacht beschouwen. Staat daar een 1 of een 2, dan kan het om een false-positive gaan, maar bij grotere getallen moeten de alarmbellen wel gaan rinkelen. Een klik op een resultaat van VirusTotal.com opent die website in de standaardbrowser en gaat dan meteen naar de resultaten voor het betreffende bestand. Op die manier kun je meer informatie over mogelijke infecties krijgen.
Om te kijken of er achter een proces of DLL malware zit, kun je dit checken via VirusTotal.com.
Normaal gesproken stuurt Process Explorer geen complete bestanden naar VirusTotal. Er wordt meestal een hashwaarde berekend, en die wordt dan opgestuurd. De meeste bestanden zijn immers ooit al een keer eerder geüpload en gescand, waardoor de website dan alleen de al aanwezige resultaten hoeft terug te leveren. Als bij Process Explorer het woord Unknown opduikt, dan is er nog geen eerder resultaat van.
Dan kun je met een rechter muisklik op de kolom en het selecteren van ‘Submit tot VirusTotal’ het complete bestand naar die website laten sturen, waarna je na enige tijd het bijbehorende resultaat terugkrijgt. Met het menu-item ‘Options / VirusTotal.com / Submit Unknown Executables’ doe je dat in het vervolg automatisch, maar dat kan onder bepaalde omstandigheden tot aardig wat netwerkverkeer leiden of programmadata naar buiten brengen waarvan je werkgever liever heeft dat die binnenshuis blijven.
Gevonden malware
Bij het vinden van malware is het meteen afschieten van het betreffende programma met ‘Kill Process’ meestal slechts de op één na beste actie. Het is handiger om het geïnfecteerde proces eerste met het commando Suspend uit het snelmenu of het Process-menu in slaap te laten gaan. Dan kan het programma verder geen onheil meer aanrichten, maar zit het nog wel in het geheugen om verder geanalyseerd te kunnen worden.
Je kunt dan bijvoorbeeld proberen om via het veld ‘Autostart Location’ op het tabblad Image bij de eigenschappen te achterhalen waardoor het proces gestart werd. Vaak helpt het ook om de processen die zich in de boomstructuur in de buurt van het malware-proces bevinden eens nader te onderzoeken. Sommige virussen bestaan uit meerdere uitvoerbare bestanden die elkaar wederzijds starten en monitoren. Als een van de processen afgesloten wordt, start een ander proces het meteen weer opnieuw. Dergelijke mechanismen kunnen niet reageren op processen die in slaap zijn gebracht.