Técnicas de prevenção de exploits

Técnicas de prevenção de exploits

Técnica de prevenção de exploits

Descrição

Prevenção Contra Execução de Dados (DEP, Data Execution Prevention)

A prevenção contra execução de dados bloqueia a execução do código arbitrário em áreas protegidas da memória.

Randomização do Layout do Espaço de Endereço (ASLR, Address Space Layout Randomization)

Altera o layout das estruturas de dados no espaço do endereço do processo.

Proteção contra Substituição do Gerenciador de Exceção Estruturada (SEHOP, Structured Exception Handler Overwrite Protection)

Substituição de registros de exceção ou substituição do gerenciador de exceção.

Alocação de Página Nula

Prevenção contra o redirecionamento do ponteiro nulo.

Verificação de Chamada de Rede LoadLibrary (Anti-ROP)

Proteção contra carregamento de DLLs de caminhos de rede.

Pilha Executável (Anti-ROP)

Bloqueio de execução não autorizada de áreas da pilha.

Verificação Anti-RET (Anti-ROP)

Verifica se a instrução CALL foi invocada de maneira segura.

Articulação Anti-Stack (Anti-ROP)

Proteção contra a relocalização do ponteiro de pilha ESP para um endereço executável.

Monitor de Acesso à Tabela de Endereço de Exportação (Monitor de Acesso EAT e Monitor de Acesso EAT através de Registrador de Depuração)

Proteção de acesso à leitura para a tabela de endereços de exportação para o kernel32.dll, kernelbase.dll e ntdll.dll

Alocação de heapspray (Heapspray)

Proteção contra a alocação de memória para executar um código malicioso.

Simulação do Fluxo de Execução (Contra Programação Direcionada por Retorno)

Detecção de cadeias de instruções potencialmente perigosas (possível gadget ROP) no componente de API do Windows.

Monitor de Chamada de Perfil de Intervalo (Proteção do Driver de Função Auxiliar (AFDP, Ancillary Function Driver Protection))

Proteção contra o escalamento de privilégios por uma vulnerabilidade no driver AFD (execução de código arbitrário no anel 0 por meio de uma chamada QueryIntervalProfile).

Redução da Superfície de Ataque (ASR)

Bloqueio da inicialização de suplementos vulneráveis por meio do processo protegido.

Contra o esvaziamento do processo (Hollowing)

Proteção contra criação e execução de cópias maliciosas de processos confiáveis.

Contra AtomBombing (APC)

Exploração da tabela de átomo global via Chamadas de Procedimento Assíncrono (APC).

Contra CreateRemoteThread (RThreadLocal)

Outro processo criou uma thread no processo protegido.

Contra CreateRemoteThread (RThreadRemote)

O processo protegido criou uma thread em outro processo.

Início da página