Comments 9
выход Windows 10, которая уже поддерживает ряд еще более продвинутых механизмов защиты от эксплойтов с помощью виртуализации
А DEP в ней по умолчанию всё так же включён лишь для основных программ и служб.
DEP всегда работает в x64, и новые бинарники x86 компилируются со флагом force DEP, так что со временем он будет везде, по мере компиляции новых версий программ.
Видимо, риск сломать legacy-программы больше волнует MS, чем риск получить атаку на старую программу. В принципе, те же браузеры обновляются каждый месяц, они уже с DEP независимо от настроек Windows.
Видимо, риск сломать legacy-программы больше волнует MS, чем риск получить атаку на старую программу. В принципе, те же браузеры обновляются каждый месяц, они уже с DEP независимо от настроек Windows.
DEP всегда работает в x64
Мне bcdedit говорит, что DEP у меня (ничего, вроде, не менял) в состоянии OptIn. Это, как я понимаю, включает DEP лишь если конкретная софтина явно скомпилирована с его поддержкой.
DEP же просто запрещает выполнение кода из стека или из кучи, чтобы вредоносный код, полученный с данными от злоумышленника, не мог выполниться, даже если «случайно» на него перейдёт управление. 99% программ (все, кроме тех, которые свой код расшифровывают и выполняют динамически) готовы к включению DEP.
Вся поддержка DEP со стороны компилятора — это поставить флаг в заголовке exe-файла, который показывает, что программа точно такими трюками не занимается. Или, если занимается, то самостоятельно помечает регионы памяти как выполняемые, вызовом функции
Флаг ставит автор программы, запуская компилятор с ключом /NXCOMPAT. В новых версиях Visual Studio он по умолчанию включен. Можно считать, весь новый софт защищён, независимо от настройки Windows.
В Windows в адресном пространстве x64 страницы стека и кучи защищены от выполнения по умолчанию, поэтому этот флаг в заголовке exe-файла ни на что не влияет, DEP всегда работает.
Вся поддержка DEP со стороны компилятора — это поставить флаг в заголовке exe-файла, который показывает, что программа точно такими трюками не занимается. Или, если занимается, то самостоятельно помечает регионы памяти как выполняемые, вызовом функции
VirtualProtectФлаг ставит автор программы, запуская компилятор с ключом /NXCOMPAT. В новых версиях Visual Studio он по умолчанию включен. Можно считать, весь новый софт защищён, независимо от настройки Windows.
В Windows в адресном пространстве x64 страницы стека и кучи защищены от выполнения по умолчанию, поэтому этот флаг в заголовке exe-файла ни на что не влияет, DEP всегда работает.
UFO just landed and posted this here
Есть примеры, когда EMET ловил эксплоиты «in the wild»?
UFO just landed and posted this here
Читал, что вирусы при его обнаружении вообще отключались, чтобы себя не обнаруживать.
Об этом было написано и в блоге ESET NOD32.
Печальное известие. Но уже с выходом версии 5.1 в Windows 7 начались неразрешимые, кроме как отключение, проблемы с EAF, 5.51 их не исправил и даже усилил и стало понятно, что политика MS направлена в сторону отсекания ещё поддерживаемых версий Windows 8 и 8.1 и особенно Windows 7, которая в данное время является сильным конкурентом Windows 10. А вот они то и нуждаются в защите. Злые хацкеры будут рады этой новости.
Sign up to leave a comment.
Microsoft отказывается от поддержки EMET