[Problem trat bei mir mit Chrome v 54, Ranorex Automation-Chrome Erweiterung v 1.0.9 und Ranorex v 6.1.1 auf]
Symptome: beim Versuch die UI-Elemente zu tracken, kann man nicht mehr die einzelnen Elemente mit dem rote Rahmen erfasssen. Es wird nur ein großer Rahmen um den Viewport herum gezogen.
Wenn man in die Baumansicht im Ranorex Spy schaut, stellt man fest, dass kein entsprechender ‚Dom‘-Knoten für das Fenster vorhanden ist. Es exitsiert nur der entsprechende ‚Form‘-Knoten.
Solche Symptome deuten darauf hin, dass etwas mit dem Browser-Plugin nicht funktioniert. Selbst wenn das Plugin installiert, aktiviert, geupdated und richtig konfiguriert ist, kann im Hintergrund etwas verrutscht sein.
Lösung
Einfach mittels Ranorex Instrumentation Wizard neu installieren. Manchmal muss man den Browser neustarten. Manchmal kann danach sogar ein Neustart von Windows notwendig sein.
Alle Beiträge von Michael Wowro
IP Verbindungen samt Dateipfad des Prozesses monitoren
TCPViewer
TCPViewer: Die eindeutig bessere Alternative zu netstat. Es ist übersichtlicher, enthält den Dateipfad zu den Prozessen, die zu einer Verbindung aufgebaut wurden und mit dem kleinen Bruder TCPVCon kann man die Daten als .csv abspeichern.
IP-Verbindungen leuchten von Zeit zu Zeit farbig auf, um die Aufmerksamkeit des Users zu erregen:
grün: Frisch geöffnete endpoints
blau: Gerade geschlossene endpoints
gelb: endpoints haben den Status gewechselt.
Process Monitor
Eigentlich hat dieses Tool den Schwerpunkt auf Prozesse, ist jedoch das perfekte Tool, um Events so weit einzuschränken, um die Datei zu finden, die verdächtige IP Connections aufbaut.
Den Filter muss man um folgende beiden Entries erweitern:
Operation contains TCP Include Operation contains UDP Include
Nun filtert man nach und nach unverdächtige Prozesse raus (bsps.weise firefox.exe) bis die potenziellen Schadprozesse übersichtlicher sind.
Windows Firewall Logging
Beim gehijackten Server, kann man verdächtige Aktivitäten im Firewall-Log genauer analysieren. Dort wird jedoch leider nicht die Quelle der verdächtigen Aktivitäten (also der Prozess) protokolliert.
Das Firewall-Log wird per default in %systemroot%\system32\LogFiles\Firewall als pfirewall.log gespeichert und ist leer, muss also erst eingeschalten werden.
Das Menü zum Einschalten des Firewall-Loggings findet sich im Programm „Firewall mit erweiterter Sicherheit“: Aktion -> Eingenschaften. Dann für alle drei Profile (Domänenprofil, …) -> Anpassen -> dort die Protokollierung mit zweimal „Ja“ einschalten.
Das Runterfahren von Windows war zumindest bei meinem letzten Einschalten vom Firewall-Log nicht notwendig. Wenn alles korrekt funktioniert, dann wird jeder(!) Aufruf einer Webseite in einem Browser zu zahlreichen Einträgen im Log führen.
Falls dies nicht der Fall ist, dann kann das möglicherweise daran liegen, dass der Windows-Firewalldienst keine Schreibberechtigungen für den Protokollordner hat:
Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.
Dann mit einem als Administrator gestarteten Editor die Log-Datei öffnen.
Interpretation des Firewall Logs
Nachdem die Analysephase vorbei ist, muss das Log wieder abgeschalten werden, damit durch die schnell anwachsenden Log-Files nicht irgendwann die Festplatte zu ist.