AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch Crowdstrike - Name ist Programm
Thema durchsuchen
Ansicht
Themen-Optionen

Crowdstrike - Name ist Programm

Ein Thema von dummzeuch · begonnen am 20. Jul 2024 · letzter Beitrag vom 22. Jul 2024
Antwort Antwort
Seite 2 von 2     12   
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#11

AW: Crowdstrike - Name ist Programm

  Alt 21. Jul 2024, 08:30

Auch scheint sich herauszustellen, daß der Einsatz solcher Produkte (gehässig als Schlangenöl bekannt) primär als Absicherung gegen eventuelle Regressansprüche genutzt wird. Frei nach dem Motto "Ich habe doch Tool XY installiert, es kann nichts passieren". Wenn doch was passiert, lehnt man sich zurück, und sagt man habe ja alles menschenmögliche getan.

Insgesamt trennt sich an diesem Vorfall die Spreu vom Weizen. ITler, die das Glück hatten, kein vom Management aufgedrücktes Produkt zweifelhaften Nutzens verwenden zu müssen, freuen sich über ein weiteres ruhiges Wochenende. Die anderen...nunja.
Aber wenn man keines installiert hat, ist doch wie Harakiri. Oder sehe ich das falsch? Gerade bei Firmen, die viele Mitarbeiter haben. Da gibt es bestimmt immer welche, die aus irgendwelchen Gründen auf einen Link klicken.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.067 Beiträge
 
Delphi 12 Athens
 
#12

AW: Crowdstrike - Name ist Programm

  Alt 21. Jul 2024, 10:52
Bei kam letztens auch mal wieder eine Mail mit einer ZIP an, wo angeblich was vom Anwalt drin war.
Es war eine JavaScript-Datei, anstatt einer EXE, damit man wohl auch im Linux was von hat.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
QuickAndDirty

Registriert seit: 13. Jan 2004
Ort: Hamm(Westf)
1.929 Beiträge
 
Delphi 12 Athens
 
#13

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 11:06
Wie kann es sein, dass Windows erkennt und anzeigt, welcher Treiber schuld ist, aber dennoch immer wieder genau diesen Treiber lädt und erneut crasht?
Crowdstrike hat den Treiber von Microsoft überprüfen und Signieren lassen und es hat ihn als "boot treiber" markiert. D.h. Für windows sieht der Treiber aus wie ein Treiber der für das booten von Windows notwendig ist. Trieber die nicht so markiert sind lässt Windows automatisch aus wenn sie beim booten ?x? mal Fehler verursachen.

Das Problem mit dem Crowdstrike Update war, dass NICHT der Treiber ein Update erfuhr. Der Treiber kann P-code ausführen... lol
Crowdstrike schiebt einfach immer wieder neue Dateien mit P-code durch.
Die letzte war eine leere Datei, bzw. die payload war einfach ein haufen Nullen.
Anscheinend kommt deren P-Code interpreter mit so einem Szenario nicht klar.

Das ist der Grund warum man den Fehler beheben kann in dem man die dumme P-Code Datei löscht.

Stellt euch vor ihr seid der Typ bei Crowdstrike der diese Updatedatei hochgeladen hat. Ich meine das muss ja ein versehen gewesen sein. Irgend eine bescheuerte Verwechslung. Ein Canary Release hätte das Probelm begrenzt.

Noch so eine Sache....Anti-Cheat-Software sitzt oft genau an der selben stelle im Betriebsystem....Und ich glaube wenn der Support eingestellt wird , wird die AntiCheat Software nicht mal sauber entfernt.
Andreas
Monads? Wtf are Monads?

Geändert von QuickAndDirty (22. Jul 2024 um 11:16 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Uwe Raabe
Uwe Raabe

Registriert seit: 20. Jan 2006
Ort: Lübbecke
11.453 Beiträge
 
Delphi 12 Athens
 
#14

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 11:32
Die letzte war eine leere Datei, bzw. die payload war einfach ein haufen Nullen.
Merkwürdig - seit ein paar Tagen bekomme ich Dateien zugeschickt, die nur aus 0-Bytes bestehen, und ich soll feststellen, warum die von meiner Software nicht geladen werden können. Namen, Extension und Größe sind plausibel, nur der Inhalt eben nicht. Schwirrt vielleicht irgend so ein Virus rum, der Dateien mit Nullen überschreibt?
Uwe Raabe
Certified Delphi Master Developer
Embarcadero MVP
Blog: The Art of Delphi Programming
  Mit Zitat antworten Zitat
QuickAndDirty

Registriert seit: 13. Jan 2004
Ort: Hamm(Westf)
1.929 Beiträge
 
Delphi 12 Athens
 
#15

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 11:51
Merkwürdig - seit ein paar Tagen bekomme ich Dateien zugeschickt, die nur aus 0-Bytes bestehen, und ich soll feststellen, warum die von meiner Software nicht geladen werden können. Namen, Extension und Größe sind plausibel, nur der Inhalt eben nicht. Schwirrt vielleicht irgend so ein Virus rum, der Dateien mit Nullen überschreibt?
Wir dürfen ja spekulieren. Und wenn das Crowdstrike passiert ist , wäre die Ironie einfach göttlich!
Wo können wir diese Story verbreiten?
Guck mal hier
https://finance.yahoo.com/quote/CRWD/
und auf "5D" klicken....
Andreas
Monads? Wtf are Monads?

Geändert von QuickAndDirty (22. Jul 2024 um 11:59 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.067 Beiträge
 
Delphi 12 Athens
 
#16

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 12:02
Bei einem Kunden wurde mitten im Betrieb unsere EXE vom Virenscanner gesperrt.
irgendwas von TrendMicro

Dann brauchten dir erstmal umständlich einen SHA1-Hash davon, um die Datei entsprerren zu können.
(von der Datei selbst ging ja nicht, da gesperrt, also mußten wir erstmal suchen genau diese Version zu finden)

Am Ende ging immernoch nichts. Nachdem wir die Datei aktualisiert hatten und es wieder ging, sah ich mir die Unterschiede an und da war der erste Cluster genullt.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
QuickAndDirty

Registriert seit: 13. Jan 2004
Ort: Hamm(Westf)
1.929 Beiträge
 
Delphi 12 Athens
 
#17

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 12:23
Kann das nicht auch an den ganzen komischen festplatten verfahren liegen wie "Shingled Magenetic Recording" , das einfach mal was verloren geht bei den ganzen Terrabytes?
Ansonsten ist es natürlich ein klarer Hinweiß der die These von Uwe Rabe untermauert. Und wir brauchen ja nicht nur ne Story sondern auch "Beweise".
Andreas
Monads? Wtf are Monads?
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.067 Beiträge
 
Delphi 12 Athens
 
#18

AW: Crowdstrike - Name ist Programm

  Alt 22. Jul 2024, 12:59
nur wenn Stromausfall mittendrin

bzw. wie bei meinem NAS vor Kurzem, wo das Netzteil einen Defekt langsam bekam, die Spannung über Tage/Wochen langsam zusammenbrach, bis es so aussah, als wenn erst eine und dann alle HDDs im RAID sich verabschiedeten, bis auf die SATA-SSD und die beiden NVMe und dann mitten in der Fehlersuche *knallpengblitzallestot* (zu dem Zeitpunkt waren aber alle Patten und die eine SSD grade ausgebaut)
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (22. Jul 2024 um 13:02 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz