弱點利用防禦技術
弱點利用防禦技術
弱點利用防禦技術 | 敘述 |
|---|---|
資料執行防護 (DEP) | 資料執行防護封鎖在受防護的記憶體區域中執行任意代碼。 |
位址空間佈局隨機化 (ASLR) | 改變處理程序位址空間內資料結構佈局。 |
結構化例外處理常式覆蓋防護 (SEHOP) | 異常記錄的取代或異常處理程式的取代。 |
空頁分配 | 防護重定向空指針。 |
LoadLibrary 網路調用檢查(ROP 防護) | 防止從網路路徑載入 DLL。 |
可執行檔堆疊(ROP 防護) | 封鎖堆疊區域的非授權執行。 |
RET 防護檢查(ROP 防護) | 檢查確保安全調用 CALL 指令。 |
堆疊透視防護(ROP 防護) | 防止將 ESP 堆疊指標重新定位到可執行檔位址。 |
簡單匯出位址表存取監視(EAT 存取監視和透過診斷寄存器的 EAT 存取監視) | 防止對 kernel32.dll、kernelbase.dll 和 ntdll.dll 匯出位址表的讀取存取 |
堆噴射分配 (Heapspray) | 防止將記憶體分配用於執行惡意程式碼。 |
執行流模擬(返回導向編程防護) | 偵測 Windows API 元件中可能存在危險的指令鏈(潛在 ROP 小工具)。 |
IntervalProfile 調用監視(協助工具驅動程式防護 (AFDP)) | 防止透過 AFD 驅動程式中的弱點進行提權(透過 QueryIntervalProfile 調用在 Ring 0 中執行任意代碼)。 |
受攻擊面減少 (ASR) | 透過受防護的處理程序封鎖啟動易受攻擊的載入項。 |
處理程序挖空防護 (Hollowing) | 防止建立和執行受信任處理程序的惡意副本。 |
AtomBombing 防護(APC) | 透過非同步程序呼叫 (APC) 利用全域原子表弱點。 |
CreateRemoteThread 防護 (RThreadLocal) | 其他處理程序已在受防護處理程序中建立執行緒。 |
CreateRemoteThread 防護 (RThreadRemote) | 受防護處理程序已在其他處理程序中建立執行緒。 |