Supervisors: <-- darfst du den Schreck nennen?

Abstract: up-front. s/The/This/ thesis

warum nach Abstract 2 Seiten leer?!?

Debugging in a Live s/e/E/nvironment

Der Absatz "Cookies usually are generated..." find ich etwas
komisch und sollte auch falsch sein?! Erstens ist es normal ja
eher PRNG und zweitens erschließt sich mir der Zusammenhang mit
den Passwörtern nicht so ganz. Ist der Absatz überhaupt nötig
für deine Argumentation??

.. configuration errors that appearing only after ... <-- stimmt das so? configuration errors that are only appearing after... ??

.. to support forensics experts ... <-- forensic experts?!

.. during the implementation _of_ tools realizing ?

... permissions schemes... => permission schemes?

<em>systrace <-- nicht trennen?

... by using virus database and ... <-- entweder .. a virus.. oder databases?!

intruders <-- falsch getrennt?

kann man 1. Intro noch etwas untergruppieren?!

The goal of s/the/this/ thesis is

transfer them back to s/a/an/ analysis host,...

SSDT hooking <-- wurde nicht eingeührt oder erklärt bzw kommt erst viel später dran (Verweis auf unten!?)

In 1.4 wechsel zwischen Section und Kapitel ist seltsam (Section 3 vs Chapter 4)

analysis falsch getrennt?

that are usually s/are// called libraries

victim network's structure => victim's network structure?!

This core part s/of// at the heart of each operating

and thus mostly targeted ... <-- mostly ist falsch oder? most frequently?!

by malware, s/the/this/ thesis focuses on the

Figure 2 provides ... _TODO_

In dem Bild in Figure 2, sollten da nicht auch noch die Treiber rein? Da du ja sowas geschrieben hast?

It also s/servers/serves/ as the initialization

that is driven by a symmetric multiprocessor <-- ist doch irgendwie keine Voraussetzung sondern nur häufig der Fall

These provide the ability <-- Bezug von "These" passt nicht

An obvious benefit this model offers, is <-- welches "model", irgendwie passt das nicht, ging grad um Scheduling

to be loaded into physical memory _only_ once. ?

their access characteristics access time <-- klingt wegen 2x access doof

as the operating _system_ is free to decide

code duplication, _to_ encourage the ... and _to_ offer well ... ?

performing routines that are .. that provide .. that is ... <-- etwas lang?!

needs to be regulated, s/tool/too/.

concept that puts restrictions _to_ applications??

and will share address space, file descriptors. <-- entweder ein "and" oder ein "and other resources" oder so

As, threads share most ...<-- "," weg

web browsers are rendered by separate threads for performance reasons <-- eigentlich machen das ja alle über "prozesse" und das aus Sicherheitsgründen?!

in the configuration database, _the_ Windows registry?

called _the_ memory management unit (MMU) that

from the application binary, that provides this _information_ in a format

in the portable executable format _(PE/X)_.

(i) reserved area starts at ... <-- entweder newlines für die (i),(ii),.. oder mit Satzzeichen am Satzende, imho

and may serve as a marker for uninitialized data <-- ist dem so?! Eigentlich ist es doch reserviert weil es auf ne Trappage gemappt wird, damit man nen segfault bekommt beim Zugriff auf den Nullpointer

can be sketched as follows s/./:/?

First the address of the next instruction ... <-- komischer Satz

because modern operating systems and CPUs are working in protected mode <-- der protected mode erlaubt virtuellen Speicher, heißt aber imho nicht, dass Code ro ist. Das ist ja wieder ne Entscheidung des Compilers bzw. Linkers. Würd ich etwas umformulieren

machine into five different parts for input ... <-- das sind nur 3?! oder ist input and output facilities auch 2? Dann ist das Wort "for" seltsam

..allowed self-modifying programs which... <-- ganzer Satz, Kritik wie oben

Header information is used ... the linking stage .. <-- nein! Header beim kompilieren, beim linken nehm ich die ABI != Header

Der Absatz "Using external libraries offers.." ist etwas lieblos zusammengestückelt. Zu viele "also", "another",..., könnte man noch verschönern

Also, the memory footprint is not increased, if ... , the <-- ergibt das sprachlich Sinn?

a PE-formatted executable <-- die Abkürzung PE ist unbekannt bzw fehlt weiter oben

DLLs are mapped into <-- ist das Wort "mapped" klar? Wurde davor nicht wirklich erklärt

locations for manipulating program memory with <-- evtl noch etwas genauer ausführen, dass es hier (meistens) um daten und nicht um code geht?

.. but will include them in binary form,.. <-- klingt so als wäre es bei DLL dann Source

On _the_ one hand, applications may

...for the use _of_ operating system functions by..

system calls or system services ... <-- die wurden nicht wirklich erklärt bzw kommt erst noch. Evtl verweis auf eine detailiertere Erklärung die später noch kommt?

precise registers, are <-- registers falsch getrennt?

According to the Intel Corporation, "the ..." <-- privilege level statt "ring", solltest oben bei ring noch das synonym priv level einführen

from user to kernel land and <-- bisher space, jetzt land! ;)

the arguments a system s/functions/function/ may expect.

to the actial funtion's start s/addresses/address/

the syscall numer corresponds <-- Abkürzung syscall wurde nicht eingeführt

by the Windows s/operation/operating/ system, taht

moving the pointer to the next command in s/in// both

has the capability and configuration options <-- configuration falsch getrennt?

i) original code <-- warum ein römisch 1 wenn sonst nix mehr kommt? Auch die Punkte danach sind nicht fertig ausformuliert?!?

are s/reference/referenced/ by filename, not

of externally provided s/function's/functions/

Mal zwischendurch: user32 DLL und Memory Layout, alles 32Bit ... evtl vorne noch abgrenzen, dass du dich auf 32bit beschränkst oder so?!

or _return_ references to newly created ... ?

Figure 3 hat ein "REDRAW"??

hooking s/methodes/methods/ presented

Yet preparations have to _be_ made before

planning phase of s/a/the/ toolset named edrf

lightness helps _to_ not disturb the usual...

of the Windows operating system is used <-- operating falsch getrennt?

it works by first adding appropriate s/functions/function/ pointers for ..

several predefined actions, I/O drivers <-- das "," weg!? oder ich versteh den Satz nicht

typically exactly _one_ agent running !?

on this are explained s/by/in/ the subsequent ... ?

which describes means to replace the <-- describes means?!?

s/cryptosystem/crypto[graphic] system/

guarantee its benign intent, because CAs can get compromised <-- wohl nicht der einzige Grund?! Die CA kann ja nicht prüfen, dass der Code/Programmierer gutes geplant hat

and as the scenarios, edrf is targeting, assume <-- mindestens das erste Komma weg?

data related to network s/packet/packets/ being sent

vielleicht Persistence/Loading options <-- ?!?? auch danach keine richtigen Sätze mehr...

Its main s/purposes are/purpose is/ to handle

On _the_ one hand and most ... ?

described in subsection s/3.1. Which/3.1 which/ will result in

driver and the agent s/, this/. This/ is usually done

because programming language s/-// internal machanics are

The same holds true for files and folders, that <-- ab da versteh ich es nicht mehr ganz .. "of the control operations"?! Der Satz ist komisch

The agent can also execute do further <-- entweder "execute" oder "do"?!

for this could be the s/,// resolving, loading,...

the amount of packages required to <-- packages find ich seltsam, auch wenn es mit packets eine Wiederholung gibt... (packages kommt noch öfter vor)

An optional step could be added ... could .. could .. could <-- d.h. hast du nicht implementiert sondern sind nur ideen? Sonst das could weg!

In 3.4.1 sprichst du von TLS und authentication, sagst aber nicht, ob du auch client auth benutzt oder nur server auth und ob das schlimm/gut ist

These need to be s/take/taken/ into account 

that there are no overlapping reads or writes of data in the processor's cache lines, <-- wie soll das denn passieren bei einem Thread?! Außerdem ist das wirklich ein Problem? Das Problem ist doch eigentlich eher ein anderes: Ein Int steht in 2 Cachelines statt in eine zu passen und so Sachen... Und als nächstes kommt ein Padding-Abschnitt der ja das Gegenteil macht. Ist mir nicht ganz klar, ist aber vielleicht auch schon zu spät :P

make use of new s/function's/functions/

... hinten fehlt viel Text! :P
... und Bildchen!

=========

Allgemein:

Kapitel 3 scheint besser ausgearbeitet als Kapitel 2

Introduction ist etwas "konfus" bzw zu lang, kann man die noch
irgendwie besser strukturieren?!

Abstract ist ganz gut, könnte aber besser sein und zumindest bei Profs
mit denen ich zu tun hatte sehr zentral: Die lesen vor allem Abstract,
Intro und Schluss für die Notenentscheidung ;)

In der Eidesstattlichen Erklärung ist komisch getrennt ;)