csrss.exeの異常、これはルートキットですか?
サポートしている一部のシステムで奇妙な異常が発生しています。
GMERはcsrss.exeのcdd.dllスレッドにフラグを立てます。昇格された管理者権限でProcessExplorerを実行すると、次のようになります。
- どちらのcsrss.exeプロセスでもロードされたDLLを表示できません
- 実際のスレッド開始アドレスを表示できません(winsrv.DLLおよびCSRSRV.dllの代わりに、0x0または!RtlUserThreadStartのいずれかが表示されます)
- csrss.exeスレッドのスタックを表示できません
- csrss.exeのスレッドを一時停止または強制終了できません
- メモリ内の文字列は「エラーを開くプロセス」を示しています
Windows Internalsの第6版によると、これは「保護されたプロセス」のスレッドを表示しようとしたときにProcessExplorerに表示されるものです...
... Process ExplorerはWin32スレッド開始アドレスを表示できず、代わりにNtdll.dll内に標準のスレッド開始ラッパーを表示します。 [スタック]ボタンをクリックしようとすると、エラーが発生します。これは、Process Explorerが保護されたプロセス内の仮想メモリを読み取る必要があるためですが、これはできません。
ただし、csrss.exeは保護されたプロセスではありません。また、たとえそうであったとしても、通常は「保護されたプロセス」を一時停止することができますが、この場合は不可能です。
参考までに、これはProcessExplorerで通常表示されるものです...新しくインストールされたシステムから取得されます。
私が実行した他のツールは、悪意のあるものを検出しません。ただし、Process Hackerはスレッドにアクセスでき、スレッドは私が期待するもののように見えます...
私が知っている2つのこと、私は思う:
- これは異常な動作です(私が見ている他のほとんどのシステムは、昇格した管理者にcsrss.exeスレッド、文字列などへのフルアクセスを許可します)
- これは、ルートキットのような非表示の動作と一致しているようです。本「マルウェアアナリストの料理本」からのこの引用によると:
ルートキットが、システムを不安定にすることなくcsrss.exeへのアクセスを非表示または防止する信頼できる方法を見つけた場合、問題が発生する可能性があります。実際、CsrWalkerの作成者は、一部のハッカーがZwOpenProcessをフックし、検出ツールがcsrss.exeのメモリを読み取らないようにすることで、CsrWalkerが機能しないようにしようとしていることを発見しました。
昇格された権限でPEを実行している管理者が、不明なルートキット以外にこれらの異常を確認する理由を誰かが説明できますか?
CSRSSは標準のMicrosoftサービスです: https://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem
これは基本的に、ユーザースペースとカーネルスペースの間を行き来する中間関数です。
カーネルレベルの権限があると、通常のユーザースペースプログラムからそのメモリマップにアクセスすることはできません。これは、悪意のあるプログラムが、権限のエスカレーションを取得する方法を探してカーネルスペースメモリをスキャンする手段としてcsrssなど、カーネルスペースにアクセスできるプログラムのメモリマップを使用するのを防ぐための安全メカニズムです。
ウイルスまたはトロイの木馬であるというデマが広まっています。このデマは、トロイの木馬、スパイウェア、またはアドウェアを削除しようとしてダウンロードさせようとする多くの悪意のあるサイトで利用されています。信頼できないWebサイトから、システムスキャナーやその実行可能ファイルをダウンロードしないでください。
あなたの情報のために(言及として ここ ):
csrss.exeは、トロイの木馬として登録されているプロセスです。このトロイの木馬により、攻撃者は離れた場所からコンピュータにアクセスし、パスワード、インターネットバンキング、および個人データを盗むことができます。このプロセスはセキュリティリスクであり、システムから削除する必要があります。無料のレジストリスキャンを実行して、csrss.exe関連のエラーを特定することを強くお勧めします。