什么是数据执行保护(DEP)?

安全资讯 小布 1251浏览 0评论

数据执行保护 (DEP) 是一项 Microsoft 安全技术(适用于 Windows 操作系统),可防止从系统内存位置执行恶意代码。通过使用一组硬件和软件技术,DEP 正在内存中执行额外的检查以帮助防止攻击。

恶意软件可能正在从内存位置执行恶意代码,而这些代码只应由 Windows 或其他可接受的程序使用。如果 DEP 检测到您计算机上的应用程序未正确使用内存,它将终止该程序并通知您。

数据执行保护的工作原理

DEP 不像防火墙或防病毒程序,因此无助于防止有害程序安装在您的计算机上。数据执行保护的作用是通过将特定内存位置标记为“不可执行”,并监控试图从受保护位置运行恶意代码的程序,来仔细监控您的程序以查看它们是否安全地使用系统内存。

假设应用程序试图从受保护的页面运行恶意代码。在这种情况下,应用程序将收到状态代码为 STATUS_ACCESS_VIOLATION 的异常,这可能是因为您的 DEP 应用程序被配置为根据引导配置数据中的不执行页面保护策略设置在系统引导时启动并计数在策略设置上,特定应用程序可以更改此进程的 DEP 设置。

DEP 由硬件和软件强制执行:

硬件强制 DEP

将进程期间的所有内存位置标记为不可执行,除非该位置明确包含可执行代码,因此通过拦截它们并引发异常来帮助防止特定攻击。

依靠处理器硬件来标记内存,该属性指示不应从该内存执行代码,它通过更改页表条目中的位来在特定内存页上创建标记来发挥作用。

数据执行保护和虚拟内存页面标记的实际硬件实现因处理器架构而异,但支持硬件强制 DEP 的处理器能够在从标记有合适属性集的页面执行代码时引发异常。

软件强制 DEP

Windows 添加了一组额外的数据执行预防安全检查,也称为软件强制 DEP,旨在减轻 Windows 中异常处理机制的漏洞利用。软件强制 DEP 可以在任何能够运行 Windows XP SP2 及更高版本的处理器上运行。

您应该禁用数据执行保护吗?

不建议关闭 DEP,因为这会自动监视基本的 Windows 程序和服务。

您可以通过让 DEP 监视所有程序来增强保护,因此您应该记住,禁用数据执行保护或添加排除项可能会允许恶意脚本执行并对 Windows 造成严重损坏,从而使您的 PC 永久不稳定和/或无法使用状态。

如果您关闭特定程序的数据执行保护,则它很容易受到攻击。成功的攻击随后可能会传播到您计算机上的其他程序、您的联系人,并会损坏您的文件。如果您认为打开 DEP 时程序无法正常运行,在修改任何数据执行保护设置之前检查 DEP 兼容版本或从软件发行商处进行更新

如何配置数据执行保护

对于基本的 Windows 操作系统程序和服务,默认情况下启用 DEP

您必须以管理员或管理员组成员的身份登录才能完成此过程。如果您的计算机连接到网络,网络策略设置也可能会阻止您完成此过程。

1. 打开控制面板。

2. 单击系统和安全 > 系统 > 高级系统设置。

 

3. 进入高级选项卡后,单击设置。

4. 单击名为“数据执行保护”的选项卡。

5. 选择仅为必要的 Windows 程序和服务启用 DEP。

6. 单击确定。确保重新启动系统以启用更改。

如果启用了 DEP,如何从 CMD 检查

1.打开CMD()。

2. 输入以下命令,然后按 ENTER:

wmic OS Get DataExecutionPrevention_Available

 

如果输出为“TRUE”,则硬件强制 DEP 可用。

 

 

包起来

数据执行保护是基于 Windows 的系统可以拥有的最重要的基本保护之一,除非有必要,否则它必须始终保持活动状态。如果您使用的程序是为在 64 位操作系统上使用而开发的,那么大多数程序在创建时都考虑到了 DEP,并且没有问题。但是,如果您需要使用遗留代码,则需要为该特定程序创建一个例外。

在任何情况下,都应谨慎对待数据执行保护 – 将其保留为默认值,除非有正当理由更改它。虽然 DEP 至关重要,但在讨论 Windows 10 时,它只是信息安全的一个方面。

转载请注明:布尔云安的博客 » 什么是数据执行保护(DEP)?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址