Técnicas de prevenção de exploits
Técnica de prevenção de exploits |
Descrição |
|---|---|
Prevenção Contra Execução de Dados (DEP, Data Execution Prevention) |
A prevenção contra execução de dados bloqueia a execução do código arbitrário em áreas protegidas da memória. |
Randomização do Layout do Espaço de Endereço (ASLR, Address Space Layout Randomization) |
Altera o layout das estruturas de dados no espaço do endereço do processo. |
Proteção contra Substituição do Gerenciador de Exceção Estruturada (SEHOP, Structured Exception Handler Overwrite Protection) |
Substituição de registros de exceção ou substituição do gerenciador de exceção. |
Alocação de Página Nula |
Prevenção contra o redirecionamento do ponteiro nulo. |
Verificação de Chamada de Rede LoadLibrary (Anti-ROP) |
Proteção contra carregamento de DLLs de caminhos de rede. |
Pilha Executável (Anti-ROP) |
Bloqueio de execução não autorizada de áreas da pilha. |
Verificação Anti-RET (Anti-ROP) |
Verifica se a instrução CALL foi invocada de maneira segura. |
Articulação Anti-Stack (Anti-ROP) |
Proteção contra a relocalização do ponteiro de pilha ESP para um endereço executável. |
Monitor de Acesso à Tabela de Endereço de Exportação (Monitor de Acesso EAT e Monitor de Acesso EAT através de Registrador de Depuração) |
Proteção de acesso à leitura para a tabela de endereços de exportação para o kernel32.dll, kernelbase.dll e ntdll.dll |
Alocação de heapspray (Heapspray) |
Proteção contra a alocação de memória para executar um código malicioso. |
Simulação do Fluxo de Execução (Contra Programação Direcionada por Retorno) |
Detecção de cadeias de instruções potencialmente perigosas (possível gadget ROP) no componente de API do Windows. |
Monitor de Chamada de Perfil de Intervalo (Proteção do Driver de Função Auxiliar (AFDP, Ancillary Function Driver Protection)) |
Proteção contra o escalamento de privilégios por uma vulnerabilidade no driver AFD (execução de código arbitrário no anel 0 por meio de uma chamada QueryIntervalProfile). |
Redução da Superfície de Ataque (ASR) |
Bloqueio da inicialização de suplementos vulneráveis por meio do processo protegido. |
Contra o esvaziamento do processo (Hollowing) |
Proteção contra criação e execução de cópias maliciosas de processos confiáveis. |
Contra AtomBombing (APC) |
Exploração da tabela de átomo global via Chamadas de Procedimento Assíncrono (APC). |
Contra CreateRemoteThread (RThreadLocal) |
Outro processo criou uma thread no processo protegido. |
Contra CreateRemoteThread (RThreadRemote) |
O processo protegido criou uma thread em outro processo. |