CrowdStrike IT Outage Explained by a Windows Developer

Dave's Garage

21 Jul 202413:40

Summary

TLDRDave, ein ehemalige Software-Entwickler von Microsoft, erklärt in seinem Video die Ursache für die weltweit auftretenden 'CrowdStrike Blue Screens'. Er erläutert, warum CrowdStrike-Software auf den Maschinen ist, was passiert, wenn ein Kernel-Treiber wie CrowdStrike fehlschlägt, und warum diese spezifische Aktualisierung so viel Havoc verursacht hat. Dave bietet Lösungen an, wie man mit einem solchen Absturz umgeht, und teilt sein Wissen über Kernel-Modus und User-Modus mit, um das Problem besser zu verstehen.

Takeaways

👋 Dave ist ein ehemalige Software-Engineer von Microsoft und gibt in seinem Video einen Überblick über das CrowdStrike-Problem.
🛠️ CrowdStrike ist eine Sicherheitssoftware, die oft auf Maschinen installiert ist, um Malware-Angriffe zu erkennen und zu verhindern.
💻 Das Problem entstand durch ein fehlerhaftes Update der CrowdStrike-Software, was zu globalen Blue Screens führte.
🔍 Dave erklärt die Unterschiede zwischen Kernel-Modus und Benutzermodus und warum Bugs im Kernel-Modus das gesamte System abstürzen lassen.
🛡️ Kernel-Modus ist für die Ausführung von Code im direkten Zugriff auf Systemressourcen und Hardware verantwortlich.
🚫 Benutzermodus-Code darf niemals im Kernel-Modus ausgeführt werden, da dies zu schwerwiegenden Systemproblemen führen kann.
🔧 CrowdStrike-Falcon ist ein Produkt, das im Kernel-Modus läuft, um Anwendungsverhalten zu analysieren und Angriffe zu erkennen.
📄 Microsoft bietet die WHQL-Zertifizierung für Treiber an, um sicherzustellen, dass sie robust und vertrauenswürdig sind.
🚨 CrowdStrike hat möglicherweise ein Update verteilt, das unsignierte PE-Code im Kernel-Modus ausführt, was zu Instabilitäten führen kann.
🤔 Ein möglicher Grund für den Absturz könnte eine fehlende Ausreichende Überprüfung und Validierung der Parameter im CrowdStrike-Treibercode sein.
🔄 Um das Problem zu beheben, kann man das fehlerhafte CrowdStrike-Update in den System32-Treibern-Ordner entfernen und das System neu starten.

Q & A

Was ist das Hauptthema des Videos?
-Das Hauptthema des Videos ist das Problem mit der CrowdStrike-Software, insbesondere warum sie auf den Computern installiert ist, was passiert, wenn ein Kerneltreiber wie CrowdStrike scheitert, und warum der CrowdStrike-Code die Computer zum Absturz bringt.
Wer ist Dave und was hat er mit dem Thema zu tun?
-Dave ist ein in Microsoft pensionierter Softwareentwickler, der Erfahrungen mit Windows-Entwicklung hat. Er erklärt in seinem Video, was der CrowdStrike-Bluescreen tatsächlich ist und wie man es beheben kann.
Was ist der Unterschied zwischen Kernelmodus und Benutzermodus?
-Der Kernelmodus wird für den Betriebssystem-Code und Gerätetreiber verwendet, der direkt auf der Hardware agiert. Der Benutzermodus wird von Anwendungen verwendet, die nie im Kernelmodus ausgeführt werden. Ein Absturz im Kernelmodus führt zu einem Systemabsturz, während ein Anwendungsabsturz nur die Anwendung selbst beeinträchtigt.
Was ist CrowdStrike Falcon und warum ist es im Kernelmodus?
-CrowdStrike Falcon ist ein Sicherheitsprodukt, das sich nicht nur auf Antiviren-Schutz beschränkt, sondern auch auf die Analyse von Anwendungsverhalten. Um diese Analyse durchzuführen, muss es im Kernelmodus laufen, um uneingeschränkten Zugriff auf Systemdatenstrukturen zu haben.
Was ist die Bedeutung von WHQL-Zertifizierung für Treiber?
-WHQL (Windows Hardware Quality Labs) ist eine Zertifizierung, die besagt, dass ein Treiber von Microsoft als kompatibel mit dem Windows-Betriebssystem angesehen wird. Treiber, die diese Zertifizierung haben, wurden gründlich getestet und sind robust und vertrauenswürdig.
Warum ist es riskant, PE-Code im Kernelmodus auszuführen?
-Ausführen von PE-Code (Portable Executable) im Kernelmodus ist riskant, weil dieser Code nie signiert oder gründlich getestet wurde. Ein kleiner Fehler im Code kann zum Absturz des gesamten Systems führen.
Was passiert, wenn ein Kerneltreiber wie CrowdStrike scheitert?
-Wenn ein Kerneltreiber scheitert, führt dies zu einem Systemabsturz, da der Kernel im Kernelmodus läuft und kritische Systemfunktionen steuert. Ein Fehler im Kernel kann das gesamte System destabilisieren.
Wie kann man einen Computer, der aufgrund des CrowdStrike-Problems abstürzt, reparieren?
-Man muss den Computer im Safe Mode starten, um auf den Systempfad zuzugreifen und die fehlerhafte CrowdStrike-Datei zu löschen. Nach dem Neustart sollte das System normal funktionieren.
Was ist der Unterschied zwischen einem Boottreiber und einem anderen Gerätetreiber?
-Ein Boottreiber ist ein Gerätetreiber, der zum Starten des Windows-Betriebssystems erforderlich ist. Sie werden normalerweise mit Windows geliefert und beim ersten Start automatisch installiert. CrowdStrike hat seinen Treiber als Boottreiber markiert, was bedeutet, dass das System ohne ihn nicht starten kann.
Was ist das Ziel von Daves Video?
-Das Ziel von Daves Video ist es, das CrowdStrike-Problem zu erklären und zu helfen, Menschen zu verstehen, warum ihre Computer abstürzen und wie sie das Problem beheben können.