Gefahr durch "Kritischer Prozess" und "Kritischer Thread" Flags

[AHT]

Das ein Prozess im Prinzip so aussehen kann, als wäre er ein Systemprozess habe ich hier ja schon angesprochen. Aber er kann nicht nur so aussehen, er kann sich auch so verhalten. Windows bietet unter NT basierenden Systemen durch zwei undokumentierte Flags die Möglichkeit, jeden Prozess oder Thread als "Systemprozess" zu markieren.
Wenn nun ein solcher Thread oder Prozess beendet wird, registriert Windows dies als Fehler und rebootet auf die härteste Art, die es überhaupt gibt (der Systemprozess CSRSS.EXE schützt sich auf diese Weise). Nach dem Reboot erscheint eine Message, die auf einen schweren Systemfehler hinweist, der an Microsoft weitergeleitet werden kann. Zum Aktivieren dieser Flags ist das SeDebugPrivilege nötig.
Ein Flag davon ist Virenschreibern bekannt und es wurde bereits in Vergangenheit in Foren darüber diskutiert, diesen Flag unter Umständen beim Schreiben von Viren zu verwenden - keine Ahnung, inwieweit das bereits in der Praxis so durchgeführt wird.

TNT zeigt beide Flags an und kann diese auch ändern.

[AHT]

Ich überlege im Augenblick, ob dieses hier vorgestellte Programm auf Dauer auch anzeigen sollte, ob ein Prozess diese hier angesprochenen Flags besitzt und es damit mit großer Sicherheit zu Datenverlust kommen kann, wenn der Prozess beendet wird (wie gesagt, sehr harter Reboot).
Was meint ihr? Wäre das sinnvoll?

[p. specht]

Sicher sogar...

[AHT]

Zitat:

Zitat von p. specht

Sicher sogar...

Ich denke mal, das Horst hier mitliest...

Ich halte das auch für sehr sinnvoll. Ich habe bislang nur zwei Tools gesehen, die zumindestens einen dieser Flags überhaupt anzeigen - und eines davon war von mir. Das größte Problem ist eigentlich, dass es durch den harten Reboot beim Beenden so geschützter Prozesse mit sehr, sehr großer Sicherheit zu Festplattenfehlern und Datenverlust kommt. Es kann also unter Umständen sehr schädlich sein, mit manchen Viren einfach so "herumzuexperimentieren". Ich persönlich hätte deshalb auch gerne ein Tool, was mir diese Flags übersichtlich anzeigt - und ich denke, das von Horst wäre dafür sehr gut geeignet.

Auf Dauer müsste dann der Teil, der gegen API-Hooking gedacht ist, dafür etwas erweitert werden.
Zwei Prozeduren fehlen dann noch - ist aber alles einfach zu regeln - um diese Sachen würde ich mich dann kümmern.
Jetzt kommt es darauf an, ob Horst in seinem Tool auf Dauer noch irgenwo Platz hat, diese Flags übersichtlich anzuzeigen und was er darüber denkt.

Ach ja... Mal angenommen, Horst würde das auf Dauer einbauen - wie sieht es mit dem Entfernen solcher Flags aus? Über das Tool selbst kann man ja zur Zeit noch keine Prozesse beenden, sondern es ruft dafür bei Bedarf den Taskmanager auf. Sollte das Tool diese Flags selbst entfernen können und auch bei Bedarf den Prozess selbst killen, oder wäre dann die Gefahr zu groß, das sich irgendwelche User, die sich im Prinzip nicht auskennen, mit "wildem Herumklicken" irgendwelche Sachen auf ihrem Rechner "kaputtschießen"?
Mir persönlich würde das Anzeigen schon reichen, ich mache das bei Bedarf dann mit TNT...

[p. specht]

Anzeigen gut und schön, einfach rauslöschen: Zu gefählich. Wie wärs mit "irgendwie entschärfen". Setzt aber wohl Analyse voraus, was das jeweilige Ding eigentlich tut und wo es sich überall gehookt hat...
Frage: Genügt bei solchen Sachen eigentlich das Zurücksetzen auf einen sauberen Systempunkt? Wenn nicht: Wie macht man einen, der den sauberen Zustand safed?

[AHT]

Zitat:

Zitat von p. specht

Wie wärs mit "irgendwie entschärfen". Setzt aber wohl Analyse voraus, was das jeweilige Ding eigentlich tut und wo es sich überall gehookt hat...

Ja. Ging hier auch nur um die Flags und das Beenden des Prozesses.

Zitat:

Zitat von p. specht

Frage: Genügt bei solchen Sachen eigentlich das Zurücksetzen auf einen sauberen Systempunkt? Wenn nicht: Wie macht man einen, der den sauberen Zustand safed?

Kommt drauf an, mit welcher Software. Dir geht es ja um Trojaner - die sitzen dann oft auch im Wiederherstellungspunkt von Windows drin. Komplett neu aufziehen und vorher formatieren ist da bei Trojanern besser - also NEIN.

Was bei RootKits das Gute ist: Gerade dass sie sich tarnen und verstecken, macht sie für die richtige Software sichtbar und als Malware erkennbar. Man darf bloß nicht denken, dass eine Software wirklich alles oder alles gleichermaßen gut erkennt. Desweiteren ist nicht unbedingt die Software am besten, die am bekanntesten und am meisten verbreitet ist.

[AHT]

Horst hat das Anzeigen dieser Flags hier eingebaut. Zeigt das Programm die dort erwähnten "Schlösser" an, sollte der Prozess unter keinen Umständen einfach so bendet werden.