Problem mit PROCESS_DUP_HANDLE bei CSRSS.EXE

[AHT]

Folgendes schlägt fehl, wobei es egal ist, ob mein Prozess im Account des eingeloggten Users läuft oder im System Account - warum?
Mache ich einen Fehler oder ist das vielleicht ein ganz und gar fehlgeschlagener Versuch von Microsoft, ein Sicherheitsloch zu fixen???

Code:

Def GetWindowThreadProcessId(2) !"USER32","GetWindowThreadProcessId"
Def GetLastError(0) !"kernel32", "GetLastError"
Def SetLastError(1) !"kernel32", "SetLastError"
DeF OpenProcess(3) !"KERNEL32", "OpenProcess"
Def CloseHandle(1) !"KERNEL32", "CloseHandle"
DEF LookupPrivilegeValue(3) !"advapi32", "LookupPrivilegeValueA" 'LUID (8-Byte Registrierungszahl) von Privileg erhalten
DEF AdjustTokenPrivileges(6) !"advapi32", "AdjustTokenPrivileges" 'Privilegien einstellen
DEF OpenProcessToken(3) !"advapi32", "OpenProcessToken" 'Tokenhandle öffnen
DEF CopyMemory(3) !"kernel32", "RtlMoveMemory" 'kopiert einen Speicherbereich
DEF GetCurrentProcess(0) !"KERNEL32", "GetCurrentProcess" 'Handle auf den aktuellen Prozess holen
Declare CSRSS_ID&, PHandle&, Fehler&, TOKEN_PRIVILEGES#, LUID#
 
Windowstyle 31
WindowTitle "ID von CSRSS ermitteln und Prozesshandle mit PROCESS_DUP_HANDLE öffnen"
Window 0, 0 - 640, 440
GetWindowThreadProcessId(%Desktop, addr(CSRSS_ID&))
Print "ID des Subsystems meines Desktops: " + Str$(CSRSS_ID&)
Set_Privilege_Status "SeDebugPrivilege",$2
SetLastError(0)
PHandle& = OpenProcess($40, 0, CSRSS_ID&)
Fehler& = GetLastError()
IF PHandle& <> 0
 Print "Das Öffnen des Handles war erfolgreich!"
 CloseHandle(PHANDLE&)
Else
 Print "Es konnte kein Handle geöffnet werden!"
 Print "Fehlercode beim Öffnen des Handles: "  + Str$(Fehler&)
endif
While 1
 Waitinput
wend
Proc Set_Privilege_Status
 Parameters Privilege_name$, Aktive&
 Declare NewState&, AH_Token_Handle&, LU_SYSTEM$
 DIM TOKEN_PRIVILEGES#, 16
 DIM LUID#, 8
 Clear LUID#, LU_SYSTEM$
 LookupPrivilegeValue(ADDR(LU_SYSTEM$), ADDR(Privilege_name$), LUID#)
 CLEAR AH_Token_Handle&
 LET FEHLER& = OpenProcessToken(GetCurrentProcess(), $20, ADDR(AH_Token_Handle&))
 LONG TOKEN_PRIVILEGES#, 0 = 1
 LET NewState& = TOKEN_PRIVILEGES#
 CopyMemory(NewState& + 4, LUID#, 8)
 LET NewState& = Aktive&
 Clear Aktive&
 IF or(NewState&, $2) = NewState&
  LET Aktive& = or(AKTIVE&, $2)
 Endif
 IF @or(NewState&, $80000000) = NewState&
  LET Aktive& =  or(AKTIVE&, $80000000)
 Endif
 LONG TOKEN_PRIVILEGES#, 12 = Aktive&
 LET FEHLER& =  AdjustTokenPrivileges(AH_Token_Handle&, 0, TOKEN_PRIVILEGES#, 0, 0, 0)
 If AH_TOKEN_Handle& <> 0
  CLOSEHANDLE(AH_Token_Handle&)
 endif
 Dispose TOKEN_PRIVILEGES#
 Dispose LUID#
endproc

Auch wenn ich CSRSS so anpasse

und unter Vista das tue

haut's nicht hin .

Warum???

[AHT]

Unter Windows2000 SP4 und XP ohne Servicepack läuft alles normal - dürfte also wohl ab XP SP2 auftreten. Mal schauen...

[AHT]

So siehts aus, wenn es nicht läuft:

[AHT]

Da es eine recht wichtige Sache ist, die eine ganze Menge Leute in anderen Sprachen nutzen, gehe ich nich einmal ein bischen darauf ein, was da passieren könnte:

a) Anwendungen zum Schließen von Prozessen, die sich dafür ein Handle aus dem Subsystem hohlen, funktionieren evtl. nicht mehr richtig.

b) Im Usermode arbeitende RootKitscanner, die Prozess-Handles aus CSRSS.EXE sammeln, funktionieren unter Umständen nicht mehr.

Egal warum M$ da etwas geändert hat, es ist auf jeden Fall so ziemlich am Ziel vorbeigeschossen, denn was da scheinbar gefixt werden sollte ist weiterhin problemlos durchzuführen .
Ääähm ...Sicherheitsproplem eingebaut um eins zu fixen???

[AHT]

Hab den Verursacher des Problems gefunden. Verursacht wird der Blödsinn (mal wieder ) durch den Treiber avipbb.sys von AntiVir.
M$ ist also komplett unschuldig an der Sache.

[AHT]

@Frank Abbing:
Du nimmst doch Avast? Köntest du mal einen Scrennshot mit dem Quelltext von ganz oben hier posten?

[AHT]

Die Sache ist, wie gesagt, recht wichtig; deshalb hier ein Querlink auf ein Forum, in dem ich bereits eine Bestätigung erhalten habe:
Delphi-Forum.de - CSRSS und OpenProcess mit PROCESS_DUP_HANDLE
Die Leute in Delphi sind Top

Sorry, bin hier im Urlaub und kann auf dem Mini-PC nicht testen. Bin grad auch nur in fremdem Netz unterwegs...
Werd es aber nachholen.

Gruß aus Lathen,
Frank

[AHT]

Danke Frank! Hab den Verursacher ja schon und will jetzt mal schauen, ob Avast ähnlichen Blödsinn veranstaltet. Werde mich dann als nächstes bei Avira um ein Bugfix kümmern

Werde dann dort auf die Seiten Verlinken, wo es Rückmeldungen gegeben hat.

[THFR]

Mit avast (Stand 10.04.09):
"Das Öffnen des Handles war erfolgreich!"
XP SP2

Gruß Thomas

[AHT]

Zitat:

Zitat von THFR

Mit avast (Stand 10.04.09):
"Das Öffnen des Handles war erfolgreich!"
XP SP2

Gruß Thomas

Besten Dank, mit Norten gehts ebenfalls.

[Andreas Miethe]

Zitat:

Zitat von AHT

Unter Windows2000 SP4 und XP ohne Servicepack läuft alles normal - dürfte also wohl ab XP SP2 auftreten. Mal schauen...

Hallo Andreas,

kann ich nicht bestätigen !
Bei mir funktioniert es mit XP SP2 und Avira(Update von heute).

[horsthorn]

Mit Avast, ...XP-Home+SP3 "Öffnen erfolgreich"

[Chris_S]

Unter Vista64 Sp1 wenn ich ohne Adminrechte starte:

Code:

ID des Subsystems meines Desktops: 624
Es konnte kein Handle geöffnet werden!
Fehlercode beim Öffnen des Handles: 5

Mit Adminrechten:

Code:

ID des Subsystems meines Desktops: 624
Das Öffnen des Handles war erfolgreich!

AntiVir bei beiden Versuchen aktiv.

[RGH]

Code:

ID des Subsystems meines Desktops: 912
Es konnte kein Handle geöffnet werden!
Fehlercode beim Öffnen des Handles: 5

Bei mir läuft Avira Antivir Premium. System siehe Signatur (mit Admin-Rechten).
Manchmal, wenn ich das Programm im Interpreter starte, ist der Fehlercode auch 0.

Hinweis für XProfan 11 Nutzer: Das Programm enthält einige seit 6.6 nicht mehr notwendigen OperatorErsatzfunktionen. Daher ist PROFALT.INC einzubinden.

Gruß
Roland
(startet gleich noch einen Test unter Windows 7)