Técnicas de prevención de exploits
Técnicas de prevención de exploits
Técnica de prevención de exploits | Descripción |
|---|---|
Prevención de ejecución de datos (DEP) | La prevención de ejecución de datos bloquea la ejecución del código arbitrario en áreas protegidas de la memoria. |
Randomización del diseño del espacio de direcciones (ASLR) | Cambia el diseño de estructuras de datos en el espacio de direcciones del proceso. |
Protección de sobrescritura del controlador de excepciones estructuradas (SEHOP) | Reemplazo de registros de excepciones o reemplazo del controlador de excepciones. |
Ubicación de página nula | Prevención de desvío el indicador nulo |
Verificación de llamada de la red de LoadLibrary (anti-ROP) | Protección contra DLL de carga desde rutas de la red. |
Pilas ejecutables (anti ROP) | Bloqueo de ejecución no autorizada de áreas de las pilas. |
Verificación anti RET (anti ROP) | Compruebe que la instrucción de LLAMADA se invoque de manera segura. |
Anti traslado de pilas (anti ROP) | La Protección contra el traslado de indicadores de pilas de ESP a una dirección ejecutable. |
Monitor de acceso a la función exportar tabla de direcciones simple (Monitor de acceso a EAT y Monitor de acceso a EAT mediante el registro de depuraciones) | Protección de acceso de lectura a la función exportar tabla de direcciones para kernel32.dll, kernelbase.dll y ntdll.dll. |
Asignación de Heap Spray (Heapspray) | Protección contra asignación de memoria para ejecutar código malicioso. |
Simulación del flujo de ejecución (programación orientada a la antidevolución) | Detección de cadenas potencialmente peligrosas de instrucciones (posible gadget ROP) en el componente API de Windows. |
Monitor de llamada de IntervalProfiler (Protección del controlador funcional auxiliar [AFDP]) | Protección contra elevación de privilegios a través de una vulnerabilidad en el controlador AFD (ejecución de código arbitrario en anillo 0 a través de una llamada de QueryIntervalProfile). |
Reducción de la superficie de ataque (ASR) | Bloqueo del inicio de complementos automáticos vulnerables mediante el proceso protegido. |
Hollowing antiproceso (Hollowing) | Protección contra creación y ejecución de copias maliciosas de procesos de confianza. |
Anti AtomBombing (APC) | Exploit de la tabla de atom global mediante llamadas de procedimiento asíncronas (APC). |
Anti CreateRemoteThread (RThreadLocal) | Otro proceso ha creado un subproceso en el proceso protegido. |
Anti CreateRemoteThread (RThreadRemote) | El proceso protegido ha creado un subproceso en otro proceso. |