Técnicas de prevención de exploits
Técnica de prevención de exploits |
Descripción |
|---|---|
Prevención de ejecución de datos (DEP) |
La prevención de ejecución de datos bloquea la ejecución del código arbitrario en áreas protegidas de la memoria. |
Randomización del diseño del espacio de direcciones (ASLR) |
Cambia el diseño de estructuras de datos en el espacio de direcciones del proceso. |
Protección de sobrescritura del controlador de excepciones estructuradas (SEHOP) |
Reemplazo de registros de excepciones o reemplazo del controlador de excepciones. |
Ubicación de página nula |
Prevención de desvío el indicador nulo |
Verificación de llamada de la red de LoadLibrary (anti-ROP) |
Protección contra DLL de carga desde rutas de la red. |
Pilas ejecutables (anti ROP) |
Bloqueo de ejecución no autorizada de áreas de las pilas. |
Verificación anti RET (anti ROP) |
Compruebe que la instrucción de LLAMADA se invoque de manera segura. |
Anti traslado de pilas (anti ROP) |
La Protección contra el traslado de indicadores de pilas de ESP a una dirección ejecutable. |
Monitor de acceso a la función exportar tabla de direcciones simple (Monitor de acceso a EAT y Monitor de acceso a EAT mediante el registro de depuraciones) |
Protección de acceso de lectura a la función exportar tabla de direcciones para kernel32.dll, kernelbase.dll y ntdll.dll. |
Asignación de Heap Spray (Heapspray) |
Protección contra asignación de memoria para ejecutar código malicioso. |
Simulación del flujo de ejecución (programación orientada a la antidevolución) |
Detección de cadenas potencialmente peligrosas de instrucciones (posible gadget ROP) en el componente API de Windows. |
Monitor de llamada de IntervalProfiler (Protección del controlador funcional auxiliar [AFDP]) |
Protección contra elevación de privilegios a través de una vulnerabilidad en el controlador AFD (ejecución de código arbitrario en anillo 0 a través de una llamada de QueryIntervalProfile). |
Reducción de la superficie de ataque (ASR) |
Bloqueo del inicio de complementos automáticos vulnerables mediante el proceso protegido. |
Hollowing antiproceso (Hollowing) |
Protección contra creación y ejecución de copias maliciosas de procesos de confianza. |
Anti AtomBombing (APC) |
Exploit de la tabla de atom global mediante llamadas de procedimiento asíncronas (APC). |
Anti CreateRemoteThread (RThreadLocal) |
Otro proceso ha creado un subproceso en el proceso protegido. |
Anti CreateRemoteThread (RThreadRemote) |
El proceso protegido ha creado un subproceso en otro proceso. |