Техники защиты от эксплойтов
Техника защиты от эксплойтов |
Описание |
|---|---|
Data Execution Prevention (DEP) |
Предотвращение выполнения данных - запрет исполнения произвольного кода в защищенной области памяти. |
Address Space Layout Randomization (ASLR) |
Изменение расположения структур данных в адресном пространстве процесса. |
Structured Exception Handler Overwrite Protection (SEHOP) |
Подмена записи в структуре исключений или подмена обработчика исключений. |
Null Page Allocation |
Предотвращение переориентации нулевого указателя. |
LoadLibrary Network Call Check (Anti ROP) |
Защита от загрузки динамических библиотек с сетевых путей. |
Executable Stack (Anti ROP) |
Запрет на несанкционированное исполнение областей стека. |
Anti RET Check (Anti ROP) |
Проверка безопасного вызова функции через CALL инструкцию. |
Anti Stack Pivoting (Anti ROP) |
Защита от перемещения указателя стека ESP на эксплуатируемый адрес. |
Simple Export Address Table Access Monitor (EAT Access Monitor & EAT Access Monitor via Debug Register) |
Защита доступа на чтение таблицы экспорта адресов (Export Address Table) для модулей kernel32.dll, kernelbase.dll, ntdll.dll. |
Heap Spray Allocation (Heapspray) |
Защита от выделения памяти под исполнение вредоносного кода. |
Execution Flow Simulation (Anti Return Oriented Programming) |
Обнаружение потенциально опасных цепочек инструкций (возможный ROP гаджет) в компоненте Windows API. |
IntervalProfile Calling Monitor (Ancillary Function Driver Protection (AFDP)) |
Защита от эскалации привилегий через уязвимость в драйвере AFD (выполнение произвольного кода на нулевом кольце через вызов QueryIntervalProfile). |
Attack Surface Reduction (ASR) |
Блокирование запуска уязвимых модулей через защищаемый процесс. |
Anti Process Hollowing (Hollowing) |
Защита от создания и запуска вредоносных копий доверенных процессов. |
Anti AtomBombing (APC) |
Защита от эксплуатации глобальных атомных таблиц через асинхронные вызовы процедур (APC). |
Anti CreateLocalThread (RThreadRemote) |
Сторонний процесс создал поток в защищаемом процессе. |
Anti CreateRemoteThread (RThreadRemote) |
Защита внедрения потока защищаемого процесса в другой процесс. |