微软的tongue-tied安全阿森纳是最糟糕的首字母缩写,最新版本的埃梅特(增强减灾经验Toolkit)的承诺改善一点点,使得黑客更难进入你的Windows系统。 但是,额外的安全性有一个兼容性的代价。
关于Windows的安全技术的快速入门。
- 数据执行保护(DEP)不断从数据的位置,它应该包含正在运行的程序 - 它使缓冲区溢出攻击,相当多的困难。
- 地址空间布局随机化(ASLR)走一走洗牌件程序,他们是在位于内存不可预测的部分,使其更难恶意程序跳转到一些不应该的地方。
- 结构化异常处理覆盖保护(SEHOP)检查链条的中断 - 异常处理程序 - 在Windows中,以确保它们不被劫持,从而使堆栈溢出更加困难。
- 导出地址表过滤(电炉)获取的恶意软件“的shellcode”的方式,因为它看起来就Windows命令位置。
- 堆喷雾分配(HSA)的由著名的恶意软件进入内存“浪花”本身通过预先分配的青睐地点块尝试。
- 空页的分配(NPA)的防恶意软件运行一个以上的“空”页面以自己一块 - 一这是从来没有在野外看到的技术。
- 自下而上的兰德(BUR),与埃梅特2.1新增加了一个随机偏移,栈和堆的基础上,使其更难比堆黑客跳到见鬼。 咳。
埃梅特电脑上启用的DEP, ASLR, SEHOP, EAF, HSA, NPA, and BUR 。 一个名副其实的缩写攻击。
更确切地说,现在,每个Windows程序附带两个 位,决定是否要运行的程序与DEP和/或ASLR技术。(我谈到关于七月的最后 几个令人惊讶的应用程序没有运行的DEP或ASLR技术 。)埃梅特可以覆盖软件制造商的选择和手动打开DEP和/或应用ASLR技术的每一个具体。 除了ASLR技术打开一个应用的新,你可以强制特定应用ASLR技术步履蹒跚地在每个DLL协会- 。“ASLR技术强制性一个被称为技术” (ASLR技术将不能在XP或Server 2003。)
DEP和ASLR技术是非常有效的,但不能防弹,本月早些时候,DEP和ASLR技术,同心协力,下降至一自己的攻击安全公司Vupen。
SEHOP作品,但很容易绕过,如果恶意软件编写者知道它会在那里。 (SEHOP,也将不能在XP或Server 2003。)Berre和Damien Cauquil斯特凡乐在Sysdream IT安全服务已经出版了 绕过SEHOP白皮书 。
电炉是微调特定的恶意攻击,并且可以绕过相对容易,因为博客中描述的Skypher。 同样,堆喷雾分配的目的是阻止目前已知的恶意软件,它不是一种广谱抗生素。
对一个国家行动计划保护,尚未被视为对手。 BUR是一个非常聪明的disorganizer,多达几种常见的基于堆的攻击人次。
它们都可以被打开或关闭电脑上的每个程序。 但是,这种保护有价,而且价格稳定。
当微软发布埃梅特2.0去年十一月,谷歌报告了复杂的 浏览器之间的冲突埃梅特和和Adobe之间的埃梅特有杂技演员问题,Reader和。 随着时间的格雷格科泽尔在报道, 微软必须得到一个快速修补出了门。