SecuriIdee: (Eingabe-)API-Nutzungsmonitor (Programmbezogen)?

[Tobi]

Ich fände es sinnvoll, wenn sich ReactOS vielleicht irgendwie merken und anzeigen könnte, welche Programme und Prozesse welche Subsysteme verwenden. Vielleicht könnte man da auch wie bei der Vista/Win7-UAC-Abfrage oder einer Desktop-Firewall bestimmte Systeme manuell für Programme freigeben. Ich denke, das müsste sich ja im Prinzip Windows-Kompatibel gestalten lassen.

Ich stelle mir das so vor, dass User, die sich wundern, warum die Webcam blinkt, dann irgendwo nachschauen können, und dann sehen: Aha, der Prozess Trojaner.exe greift derzeit auf die Webcam zu... Und eine banktrojaner.dll verwertet derzeit Tastatureingaben...

Ebenso wird man bei neuen Musikplayern erstmal gefragt, ob das Programm xy.exe die Soundkarte verwenden darf.

Generell könnte nach Programminstallationen immer erstmal nach Erlaubnissen für Tastatur-, Monitor- und Datenträgerverwendung gefragt werden (ein ach so tolles 3D-Demo braucht ja eigentlich keinen Datenträgerzugriff!). Dazu könnte man sich eben aktuelle Nutzungen anzeigen lassen und die Regeln bearbeiten. Auch wird natürlich überwacht, ob irgendwelche API-Verbiegereien versucht werden. Irgendwelche unbekannte Prozesse haben natürlich auch eigentlich keinen Grund, in meinen Daten- und Programmdateien, sei es auf Platte oder im Speicher, herumzuschnüffeln... etc.

ich fände sowas ein Plus für die Sicherheit.

[EmuandCo]

Du meinst sowas wie winpooch?

[Tobi]

Ja, genau, das kannte ich noch nicht.

Ich stell mir das ganze nur besser integriert in ReactOS vor, ähnlich wie bei Vista/7 diese UAC-Abfrage. Und für den Anfang könnte man es ja wirklich auf Eingabegeräte beschränken. Es gibt ja auch genug unkritische API-Bereiche..

[Tobi]

Achja, bei solchen Sachen fällt mir ein, ob man nicht noch Winsnort einbauen könnte.

Sowohl Winsnort als auch Winpooch gehen ja vergleichsweise tief ins System, aber wenn man sowohl vom OS als auch von den Diagnosetools den Quellcode hat, kann man das ja optimal aufeinander abstimmen.