Комментарии 9
выход Windows 10, которая уже поддерживает ряд еще более продвинутых механизмов защиты от эксплойтов с помощью виртуализации
А DEP в ней по умолчанию всё так же включён лишь для основных программ и служб.
DEP всегда работает в x64, и новые бинарники x86 компилируются со флагом force DEP, так что со временем он будет везде, по мере компиляции новых версий программ.
Видимо, риск сломать legacy-программы больше волнует MS, чем риск получить атаку на старую программу. В принципе, те же браузеры обновляются каждый месяц, они уже с DEP независимо от настроек Windows.
Видимо, риск сломать legacy-программы больше волнует MS, чем риск получить атаку на старую программу. В принципе, те же браузеры обновляются каждый месяц, они уже с DEP независимо от настроек Windows.
DEP всегда работает в x64
Мне bcdedit говорит, что DEP у меня (ничего, вроде, не менял) в состоянии OptIn. Это, как я понимаю, включает DEP лишь если конкретная софтина явно скомпилирована с его поддержкой.
DEP же просто запрещает выполнение кода из стека или из кучи, чтобы вредоносный код, полученный с данными от злоумышленника, не мог выполниться, даже если «случайно» на него перейдёт управление. 99% программ (все, кроме тех, которые свой код расшифровывают и выполняют динамически) готовы к включению DEP.
Вся поддержка DEP со стороны компилятора — это поставить флаг в заголовке exe-файла, который показывает, что программа точно такими трюками не занимается. Или, если занимается, то самостоятельно помечает регионы памяти как выполняемые, вызовом функции
Флаг ставит автор программы, запуская компилятор с ключом /NXCOMPAT. В новых версиях Visual Studio он по умолчанию включен. Можно считать, весь новый софт защищён, независимо от настройки Windows.
В Windows в адресном пространстве x64 страницы стека и кучи защищены от выполнения по умолчанию, поэтому этот флаг в заголовке exe-файла ни на что не влияет, DEP всегда работает.
Вся поддержка DEP со стороны компилятора — это поставить флаг в заголовке exe-файла, который показывает, что программа точно такими трюками не занимается. Или, если занимается, то самостоятельно помечает регионы памяти как выполняемые, вызовом функции
VirtualProtectФлаг ставит автор программы, запуская компилятор с ключом /NXCOMPAT. В новых версиях Visual Studio он по умолчанию включен. Можно считать, весь новый софт защищён, независимо от настройки Windows.
В Windows в адресном пространстве x64 страницы стека и кучи защищены от выполнения по умолчанию, поэтому этот флаг в заголовке exe-файла ни на что не влияет, DEP всегда работает.
НЛО прилетело и опубликовало эту надпись здесь
Есть примеры, когда EMET ловил эксплоиты «in the wild»?
НЛО прилетело и опубликовало эту надпись здесь
Читал, что вирусы при его обнаружении вообще отключались, чтобы себя не обнаруживать.
Об этом было написано и в блоге ESET NOD32.
Печальное известие. Но уже с выходом версии 5.1 в Windows 7 начались неразрешимые, кроме как отключение, проблемы с EAF, 5.51 их не исправил и даже усилил и стало понятно, что политика MS направлена в сторону отсекания ещё поддерживаемых версий Windows 8 и 8.1 и особенно Windows 7, которая в данное время является сильным конкурентом Windows 10. А вот они то и нуждаются в защите. Злые хацкеры будут рады этой новости.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft отказывается от поддержки EMET