Exploit-Präventionstechniken
Verfahren zur Exploit-Prävention |
Beschreibung |
|---|---|
Data Execution Prevention (DEP) |
Verhinderung einer Ausführung von Daten – Verbot der Ausführung eines zufälligen Codes im geschützten Speicherbereich. |
Address Space Layout Randomization (ASLR) |
Zufallsgestaltung der Datenstruktur im Adressraum des Prozesses. |
Structured Exception Handler Overwrite Protection (SEHOP) |
Auswechslung des Eintrags in der Struktur der Ausnahmen oder Auswechslung des Ausnahmehandlers. |
Null Page Allocation |
Verhinderung der Umorientierung des Nullregisters. |
LoadLibrary Network Call Check (Anti ROP) |
Schutz vor dem Download dynamischer Bibliotheken von Netzwerkpfaden. |
Executable Stack (Anti ROP) |
Verbot der unbefugten Verwendung des Stapelbereichs. |
Anti RET Check (Anti ROP) |
Untersuchung des sicheren Aufrufs von Funktionen durch eine CALL-Anweisung. |
Anti Stack Pivoting (Anti ROP) |
Schutz vor einer Verschiebung des ESP-Registerstapels zur exploitierten Adresse. |
Simple Export Address Table Access Monitor (EAT Access Monitor & EAT Access Monitor via Debug Register) |
Schutz vor Lesezugriff auf die Exportadresstabelle (Export Address Table) für die Module kernel32.dll, kernelbase.dll, ntdll.dll |
Heapspray Allocation (Heapspray) |
Schutz vor Speicherbelegung unter Verwendung von schädlichem Code. |
Execution Flow Simulation (Anti Return Oriented Programming) |
Erkennen potenziell gefährlicher Anweisungsketten (mögliches ROP-Gadget) in der Komponente Windows API. |
IntervalProfile Calling Monitor (Ancillary Function Driver Protection (AFDP)) |
Schutz vor der Ausweitung von Privilegien durch eine Schwachstelle im AFD-Treiber (Ausführen eines zufälligen Codes auf dem Nullring durch den Anruf von QueryIntervalProfile). |
Attack Surface Reduction (ASR) |
Blockierung des Starts von Modulen mit etwaigen Schwachstellen über den geschützten Prozess. |
Anti Process Hollowing (Hollowing) |
Schutz gegen das Erstellen und Ausführen von schädlichen Kopien vertrauenswürdiger Prozesse. |
Anti AtomBombing (APC) |
Globaler Atomtabellen-Exploit über Asynchrone Prozeduraufrufe (APC). |
Anti CreateRemoteThread (RThreadLocal) |
Ein anderer Prozess hat einen Thread in einem geschützten Prozess erstellt. |
Anti CreateRemoteThread (RThreadRemote) |
Ein geschützter Prozess hat einen Thread in einem anderen Prozess erstellt. |