аномалии csrss.exe, это руткит?

3022
Craig Cummings

Я вижу странную аномалию в некоторых системах, которые я поддерживаю.

GMER помечает поток cdd.dll в csrss.exe, и когда я запускаю Process Explorer с правами повышенного администратора, я:

  1. невозможно просмотреть какие-либо загруженные библиотеки DLL в любом процессе csrss.exe
  2. невозможно просмотреть фактические начальные адреса потоков (вместо winsrv.DLL и CSRSRV.dll я вижу либо 0x0, либо! RtlUserThreadStart
  3. Невозможно просмотреть какой-либо стек потока csrss.exe
  4. невозможно приостановить или убить какой-либо поток в csrss.exe
  5. Строки в памяти показывают "Ошибка открытия процесса"

Photo

Согласно 6-му изданию Windows Internals, это то, что можно увидеть в Process Explorer при попытке просмотра потоков «защищенного процесса» ...

... Process Explorer не может показать начальный адрес потока Win32 и вместо этого отображает стандартную оболочку запуска потока внутри Ntdll.dll. Если вы попытаетесь нажать кнопку Stack, вы получите ошибку, потому что Process Explorer должен прочитать виртуальную память внутри защищенного процесса, чего он не может сделать.

Тем не менее, csrss.exe не является защищенным процессом. Кроме того, даже если бы это было так, обычно можно приостановить «защищенные процессы», что в данном случае невозможно.

Для справки, это то, что обычно выглядит в Process Explorer ... взято из недавно установленной системы.

enter image description here

Никакой другой инструмент, который я запускал, не обнаружил ничего вредоносного. Однако Process Hacker может получить доступ к потокам, и они выглядят так, как я ожидал увидеть ...

enter image description here

2 вещи, которые я знаю, я думаю:

  1. Это ненормальное поведение (большинство других систем, на которые я смотрю, дают Elevated Admin полный доступ к потокам, строкам и т. Д. Csrss.exe)
  2. Это похоже на руткит-подобное скрытие. Согласно этой цитате из книги «Поваренная книга аналитика вредоносных программ»:

Если руткит находит надежный способ скрыть или заблокировать доступ к csrss.exe, не вызывая нестабильность системы, это может вызвать проблему. Фактически, автор CsrWalker обнаружил, что некоторые хакеры пытались предотвратить работу CsrWalker, перехватывая ZwOpenProcess и не давая инструменту обнаружения читать память csrss.exe.

Может ли кто-нибудь объяснить, почему администратор с PE с повышенными правами будет видеть эти аномалии, кроме неизвестного руткита?

7
В качестве отправной точки, file.net имеет некоторую полезную информацию об этом файле и других обычных файлах Windows. [File.net] (http://www.file.net/process/csrss.exe.html) 9 лет назад 0
Взгляните на [это] (http://superuser.com/questions/833914/how-to-determine-what-is-running-in-dllhost-exe-thats-missing-processid-switch) вопрос супер пользователя Twisty Impersonator 9 лет назад 0
Спасибо, Икаро ... Я не думал о подтверждении размера файла, но, похоже, он исчерпывает правильную папку ... C: \ Windows \ system32. Я проверю размер файла. Craig Cummings 9 лет назад 0
Привет Твисти ... Я попробовал некоторые из инструментов, упомянутых в этой статье, в том числе некоторые автономные сканеры, загруженные с USB. Однако единственными инструментами, которые показывают мне что-то подозрительное, являются GMER и Process Explorer. Аномалии сохраняются в SMWN. В отличие от вопроса SuperUser, который вы разместили, я не вижу никаких соединений TCP / IP. Я бы хотел, потому что быстрый whois легко подтвердил бы мои подозрения. Craig Cummings 9 лет назад 0
Что это за ОС? Любая идея, почему первый процесс CSRSS.EXE был запущен 1/5/15, а другой 12/10/14? Одна вещь, которую я нахожу странным, состоит в том, что экземпляр 10 декабря имеет только 29 переключений контекста. Если он не делает * все * в ядре, это кажется низким для процесса, который длился почти два месяца. Twisty Impersonator 9 лет назад 0
Вот это да. Я даже не заметил этого, но это определенно кажется странным. Это система Windows 8.1. Для сравнения, у меня есть новая установка 8.1, работающая на виртуальной машине, а дата и время запуска для двух процессов csrss.exe точно одинаковы с точностью до минуты. Переключение контекста в моей виртуальной машине немного больше соответствует тому, что я вижу в подозрительной системе. Файл csrss.exe, содержащий поток cdd.dll, имеет 22,550 и считается. У другого пока только 5, но он работает всего около часа. Спасибо за указание на еще одну необъяснимую аномалию. :-) Есть идеи / рекомендации? Craig Cummings 9 лет назад 0
При ближайшем рассмотрении ... эти времена запуска (и переключения контекста) относятся к отдельным потокам ... а не к процессам, и это нормально, когда потоки уничтожаются и создаются в работающем процессе. Так что я не уверен, что эти различия что-то значат или нет ... Craig Cummings 9 лет назад 0
Ах, хорошее наблюдение. Каковы времена запуска самих процессов и как они соотносятся со временем запуска системы? Twisty Impersonator 9 лет назад 0
CDD.DLL - это драйвер дисплея Canonical Display Driver, который в соответствии с [этим бюллетенем по безопасности MS] (https://technet.microsoft.com/en-us/library/security/ms10-043.aspx) используется * » Композиция рабочего стола для смешивания рисунков GDI и DirectX. CDD эмулирует интерфейс драйвера дисплея Windows XP для взаимодействия с графическим ядром Win32k GDI. "* Итак, мой вопрос: как вы получаете доступ к этой системе? Через физическую консоль или каким-то другим способом? Twisty Impersonator 9 лет назад 0
Да, через физическую консоль, войдите в систему как Стандартный пользователь (запустите PE от имени администратора) или войдите в систему с полными правами администратора. В любом случае, одни и те же результаты. Это также сохраняется в SMWN. Эти системы предназначены для моего нового клиента, и у меня еще не настроен удаленный доступ. Я планирую сделать образ в следующий раз, когда буду там, чтобы я мог загрузить его в виртуальную машину и еще немного потрогать. Обновлю вопрос, как только я посмотрю на эти времена запуска процесса. Craig Cummings 9 лет назад 0
У вас есть какие-либо AV или программные продукты, такие как Digital Guardian? Они имеют тенденцию подключаться на уровне ядра и блокировать доступ к таким вещам, как уничтожение процессов, чтение определенных файлов или реестра, то есть они являются законными, но ведут себя как руткиты. Ganesh R. 9 лет назад 0

2 ответа на вопрос

1
Robert Wm Ruedisueli

CSRSS is a standard Microsoft service: https://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem

It is basically a intermediary function that goes between the userspace and kernelspace.

Having kernel level authority you cannot access it's memory map from a normal userspace program. This is a safety mechanism to prevent malicious programs from using the memory map of programs with access to kernelspace, such as csrss as a means to scan kernelspace memory looking for ways to gain authority escalation.

There is a widespread hoax that it is a virus or Trojan . This hoax is utilized by many unscrupulous sites who try to get you to download Trojans, Spyware or Adware in the attempt to remove it. NEVER download system scanners, or any executable files for that matter, from an untrusted website.

0
yoututs.tv

For your information (as mention here):

csrss.exe is a process which is registered as a Trojan. This Trojan allows attackers to access your computer from remote locations, steal passwords, Internet banking and personal data. This process is a security risk and should be removed from your system. We strongly recommend that you run a FREE registry scan to identify csrss.exe related errors.

Нужно больше информации. Это очень сильно зависит от определения правильного процесса. Управление по удалению неправильного (или ссылки на него) на основе вышеизложенного может привести к сбою и циклу загрузки. ǝɲǝɲbρɯͽ 9 лет назад 1

Похожие вопросы