Техники защиты от эксплойтов
Техники защиты от эксплойтов
Техника защиты от эксплойтов | Описание |
---|---|
Data Execution Prevention (DEP) | Предотвращение выполнения данных - запрет исполнения произвольного кода в защищенной области памяти. |
Address Space Layout Randomization (ASLR) | Изменение расположения структур данных в адресном пространстве процесса. |
Structured Exception Handler Overwrite Protection (SEHOP) | Подмена записи в структуре исключений или подмена обработчика исключений. |
Null Page Allocation | Предотвращение переориентации нулевого указателя. |
LoadLibrary Network Call Check (Anti ROP) | Защита от загрузки динамических библиотек с сетевых путей. |
Executable Stack (Anti ROP) | Запрет на несанкционированное исполнение областей стека. |
Anti RET Check (Anti ROP) | Проверка безопасного вызова функции через CALL инструкцию. |
Anti Stack Pivoting (Anti ROP) | Защита от перемещения указателя стека ESP на эксплуатируемый адрес. |
Simple Export Address Table Access Monitor (EAT Access Monitor & EAT Access Monitor via Debug Register) | Защита доступа на чтение таблицы экспорта адресов (Export Address Table) для модулей kernel32.dll, kernelbase.dll, ntdll.dll. |
Heap Spray Allocation (Heapspray) | Защита от выделения памяти под исполнение вредоносного кода. |
Execution Flow Simulation (Anti Return Oriented Programming) | Обнаружение потенциально опасных цепочек инструкций (возможный ROP гаджет) в компоненте Windows API. |
IntervalProfile Calling Monitor (Ancillary Function Driver Protection (AFDP)) | Защита от эскалации привилегий через уязвимость в драйвере AFD (выполнение произвольного кода на нулевом кольце через вызов QueryIntervalProfile). |
Attack Surface Reduction (ASR) | Блокирование запуска уязвимых модулей через защищаемый процесс. |
Anti Process Hollowing (Hollowing) | Защита от создания и запуска вредоносных копий доверенных процессов. |
Anti AtomBombing (APC) | Защита от эксплуатации глобальных атомных таблиц через асинхронные вызовы процедур (APC). |
Anti CreateLocalThread (RThreadRemote) | Сторонний процесс создал поток в защищаемом процессе. |
Anti CreateRemoteThread (RThreadRemote) | Защита внедрения потока защищаемого процесса в другой процесс. |