Kaspersky Embedded Systems Security for Windows 提供防護處理程序記憶體免受弱點利用的能力。此功能在“弱點利用防禦”元件中實現。可以變更該元件的啟動狀態和配置處理程序記憶體防護設定。
該元件透過在受防護的處理程序中插入外部處理程序防護代理(「防護代理」)防護處理程序記憶體免受弱點利用。
“處理程序防護代理”是一個動態載入的 Kaspersky Embedded Systems Security for Windows 模組,該模組可以插入到受防護的處理程序中,以便監控處理程序的完整性並降低被弱點利用的風險。
該代理在受防護的處理程序內的執行需要啟動和停止處理程序:只有處理程序已重新啟動,才能實現首次載入代理到已新增到受防護的處理程序清單中。此外,從受防護的處理程序清單中刪除處理程序後,只有該處理程序已重新啟動才能移除代理。
必須停止代理才能從受防護的處理程序中移除它:如果已移除“弱點利用防禦”元件,則應用程式將凍結環境並強制從受防護的處理程序中移除代理。如果在元件移除過程中在任一受防護處理程序中插入代理,則必須終止受影響的處理程序。可能需要重新啟動受防護裝置(例如,如果系統處理程序正在受到防護)。
如果偵測到受防護的處理程序中存在弱點利用攻擊的跡象,則 Kaspersky Embedded Systems Security for Windows 執行以下操作之一:
您可採用以下方法之一停止處理程序防護:
Kaspersky Security 弱點利用防禦服務
受防護裝置上必須提供 Kaspersky Security 弱點利用防禦服務,這樣“弱點利用防禦”元件才能發揮最大效果。此服務和“弱點利用防禦”元件是建議安裝的一部分。在受防護裝置上安裝該服務的過程中,將建立和啟動 kavfswh 處理程序。此處理程序從元件將有關受防護的處理程序的資訊傳輸到防護代理。
Kaspersky Security 弱點利用防禦服務停止後,Kaspersky Embedded Systems Security for Windows 繼續防護已新增到受防護的處理程序清單中的處理程序,同時也載入到新新增的處理程序中,並使用所有可用的弱點利用防禦技術來防護處理程序記憶體。
如果裝置正在執行 Windows 10 或更高版本的作業系統,在 Kaspersky Security 弱點利用防禦服務停止後,應用程式將不會繼續防護處理程序和處理程序記憶體。
如果 Kaspersky Security 弱點利用防禦服務已停止,則應用程式將不會接收隨受防護的處理程序出現的有關事件的資訊(包括有關弱點利用攻擊和處理程序終止的資訊)。此外,代理將無法接收新防護設定和新增新處理程序到受防護的處理程序清單中的有關資訊。
弱點利用防禦模式
可以選擇以下一種模式來配置所執行的操作,以降低弱點在受防護處理程序中被利用的風險:
當偵測到嘗試在受防護的關鍵作業系統處理程序中利用弱點時,無論“弱點利用防禦”元件設定中所指定的模式如何,Kaspersky Embedded Systems Security for Windows 都不會終止處理程序。
如果選擇此模式,Kaspersky Embedded Systems Security for Windows 將建立事件來記錄所有弱點利用嘗試。預設情況下會選擇。