Techniques de protection contre les exploits
Techniques de protection contre les exploits
Technique de protection contre les exploits | Description |
|---|---|
Data Execution Prevention (DEP) | Prévention de l'exécution des données, à savoir l'interdiction de l'exécution d'un code aléatoire dans un secteur protégé de la mémoire. |
Address Space Layout Randomization (ASLR) | Modification de la disposition des structures de données dans l'espace d'adresse du processus. |
Structured Exception Handler Overwrite Protection (SEHOP) | Substitution de l'enregistrement dans la structure des exclusions ou substitution du processeur d'exclusions. |
Null Page Allocation | Prévention de la réorientation de l'index nul. |
LoadLibrary Network Call Check (Anti ROP) | Protection contre le chargement des bibliothèques dynamiques depuis les chemins de réseau. |
Executable Stack (Anti ROP) | Interdiction de l'exécution non autorisée des zones de la pile. |
Anti RET Check (Anti ROP) | Contrôle de l'invocation sûre d'une fonction via l'instruction CALL. |
Anti Stack Pivoting (Anti ROP) | Protection contre le déplacement de l'index de pile ESP vers l'adresse exploitée. |
Simple Export Address Table Access Monitor (EAT Access Monitor & EAT Access Monitor via Debug Register) | Protection de l'accès en lecture du tableau d'exportation des adresses (Export Address Table) pour les modules kernel32.dll, kernelbase.dll et ntdll.dll |
Heap Spray Allocation (Heapspray) | Protection contre l'attribution de mémoire en cas d'exécution d'un code malveillant. |
Execution Flow Simulation (Anti Return Oriented Programming) | Détection de chaînes d'instructions potentiellement dangereuses (gadget ROP possible) dans le composant Windows API. |
IntervalProfile Calling Monitor (Ancillary Function Driver Protection (AFDP)) | Protection contre l'élévation de privilèges via une vulnérabilité dans le pilote AFD (exécution du code arbitraire sur le cercle nul dans l'appel QueryIntervalProfile). |
Attack Surface Reduction (ASR) | Interdiction du lancement de modules vulnérables via le processus protégé. |
Anti Process Hollowing (Hollowing) | Protection contre la création et l'exécution des copies malveillantes des processus douteux. |
Anti AtomBombing (APC) | Exploit global atom table via des appels APC. |
Anti CreateRemoteThread (RThreadLocal) | Un autre processus a créé une thread dans un processus protégé. |
Anti CreateRemoteThread (RThreadRemote) | Un autre processus a créé une thread de contrôle dans un processus protégé. |