Wieso kann man nicht mal mit Systemrechten ein AV Prozess schließen?

... komplette Frage anzeigen

1 Antwort

Dinge die im Kernel-Space laufen (Ring 0) kann man nicht einfach mit Adminrechten killen. (ist möglich, aber sehr aufwendig, vor allem wenn sich ein Prozess dagegen wehrt und Vorkehrungen getroffen hat)

https://de.wikipedia.org/wiki/Ring\_(CPU)

Teile der AV-Scanner sind als "Treiber" implementiert, die vom Kernel geladen und ausgeführt werden.

Viele Leute denken immer, dass Root oder Admin das privilegierteste ist, was man erreichen kann. Dem ist aber nicht so. Unter Linux z. B. ist es problemlos möglich, einen root-Account so dermaßen einzuschränken, dass er weniger Rechte als ein anonymer User hat.

Auf der anderen Seite kann man nicht-killbaren Code ausführen, und das gilt wie gesagt auch für root. :)

Schönen Abend noch! :)

PS: Als Sprache für das Kernelmodul eignet sich C sehr gut. Assembler ist nicht nötig, da der "Treiber" keine effizienzkritischen Dinge erledigen muss. :)

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von TeeTier
22.08.2016, 22:16

PS: Der super tolle und qualitativ hochwertige WYSIWYG Editor hier auf GF ist aus unverständlichen Gründen der Meinung, vor einem Unterstrich in einem Link, ein Bachslash einfügen zu müssen.

Wenn du obigen Wikipedia-Link also benutzen möchtest, kopiere am besten die ganze Zeile, und entferne den Backslash. :)

0

Was möchtest Du wissen?