2. Fórumok
  3. LOGOUT reakciók
  4. sh4d0w: A Crowdstrike-ügy
Keresés

Új hozzászólás Aktív témák

  • #22 sh4d0w félisten angyalpc2 #21
    Új Válasz #22
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    sh4d0w

    félisten

    LOGOUT blog

    válasz angyalpc2 #21 üzenetére

    "De igazándiból mit rontott el a frissítés szoftveres oldalon az OS-ben?"
    Errol nincs jelenleg publikusan elerheto informacio. Azert vazoltam fel a biztonsagi gyuruk koncepciojat, mert az magyarazatot adhat, hol tortent a hiba. A Crowdstrike azt allitja, hogy a frissitett channel file nem kernel szinten fut, viszont a hatekony es gyors vizsgalatok erdekeben mindenkeppen a ring 0-ba kell nehany hookja az agentnek. Tulkeppen magara iranyit nehany rendszerhivast, mielott az OS tenylegesen elkezdene vegrehajtani a kodot, majd a sajat vizsgalatai befejeztevel visszaadja a vegrehajtast az OS-nek. A ring 0 kivetelevel, ha egy program mellenyul - peldaul illegalis memoriaterulethez nyul -, a Windows lelovi a processt. Mivel itt BSOD tortent, a hibanak a ring 0-ban kellett tortennie.

    "És miért nem miden windows 10 gépet gépet?"
    Ezt a kerdest nem egeszen ertem, nincs minden Windows-os gepen Falcon Sensor. A Falcon egy ugyanolyan security platform, mint a SEP, vagy a Defender, vagy barmelyik masik EDR.

Új hozzászólás Aktív témák