4. Ring 0 Prozess oder wie?

Ring 0 Prozess oder wie?

  • ?

    Hi!

    Kann man eigentlich einen Prozess erstellen, der auf Ring 0 Ebene arbeitet? Oder kann das nur ein Treiber (Win XP und höher)?

    Ich hab ein Tool gefunden, welches versteckte Prozesse, Hooks und was weiß ich noch alles anzeigt, vorrangig um unerwünschte Aktivitäten zu entdecken.
    Der Prozess des Tools wird im Process Explorer weiß angezeigt, "normale" Prozesse sind allerdings Hellviolett.
    Weiß werden zB. auch smss.exe, csrss.exe und winlogon.exe angezeigt. Ich vermute mal, dass die mehr Rechte haben bzw. auf der Ring 0 Ebene laufen?

    0

  • smss.exe, csrss.exe und winlogon.exe laufen mit dem "SYSTEM" Konto. Mit Ring 0 hat das nicht viel zu tun.

    Du kannst aber als Treiber einen Thread starten, der immer im Kernel-Mode läuft. Bzw. auch IOCTLs von einem "befreundeten" Prozess entgegennehmen. Die Behandlung dieser IOCTLs läuft dann auch im Kernel-Mode.

    Ein Prozess kann also beliebigen Code im Kernel-Mode ausführen, indem er ihn in einen Treiber verlagert, den Treiber dann installiert, startet, und an den entsprechenden Stellen dann mittels z.B. DeviceIoControl Funktionen im Treiber aufruft. Natürlich braucht er dazu bestimmte Berechtigungen, die normalerweise nur Administratoren haben, oder eben Konten wie "SYSTEM".

    0
Anmelden zum Antworten