Techniques de protection contre les exploits
Technique de protection contre les exploits |
Description |
|---|---|
Data Execution Prevention (DEP) |
Prévention de l'exécution des données, à savoir l'interdiction de l'exécution d'un code aléatoire dans un secteur protégé de la mémoire. |
Address Space Layout Randomization (ASLR) |
Modification de la disposition des structures de données dans l'espace d'adresse du processus. |
Structured Exception Handler Overwrite Protection (SEHOP) |
Substitution de l'enregistrement dans la structure des exclusions ou substitution du processeur d'exclusions. |
Null Page Allocation |
Prévention de la réorientation de l'index nul. |
LoadLibrary Network Call Check (Anti ROP) |
Protection contre le chargement des bibliothèques dynamiques depuis les chemins de réseau. |
Executable Stack (Anti ROP) |
Interdiction de l'exécution non autorisée des zones de la pile. |
Anti RET Check (Anti ROP) |
Contrôle de l'invocation sûre d'une fonction via l'instruction CALL. |
Anti Stack Pivoting (Anti ROP) |
Protection contre le déplacement de l'index de pile ESP vers l'adresse exploitée. |
Simple Export Address Table Access Monitor (EAT Access Monitor & EAT Access Monitor via Debug Register) |
Protection de l'accès en lecture du tableau d'exportation des adresses (Export Address Table) pour les modules kernel32.dll, kernelbase.dll et ntdll.dll |
Heap Spray Allocation (Heapspray) |
Protection contre l'attribution de mémoire en cas d'exécution d'un code malveillant. |
Execution Flow Simulation (Anti Return Oriented Programming) |
Détection de chaînes d'instructions potentiellement dangereuses (gadget ROP possible) dans le composant Windows API. |
IntervalProfile Calling Monitor (Ancillary Function Driver Protection (AFDP)) |
Protection contre l'élévation de privilèges via une vulnérabilité dans le pilote AFD (exécution du code arbitraire sur le cercle nul dans l'appel QueryIntervalProfile). |
Attack Surface Reduction (ASR) |
Interdiction du lancement de modules vulnérables via le processus protégé. |
Anti Process Hollowing (Hollowing) |
Protection contre la création et l'exécution des copies malveillantes des processus douteux. |
Anti AtomBombing (APC) |
Exploit global atom table via des appels APC. |
Anti CreateRemoteThread (RThreadLocal) |
Un autre processus a créé une thread dans un processus protégé. |
Anti CreateRemoteThread (RThreadRemote) |
Un autre processus a créé une thread de contrôle dans un processus protégé. |