0513 winxp sp2 dep pae Virtual pc 2

Microsoft Windows XP Service Pack 2 中的功能变更
第 3 部分:内存保护技术
数据执行保护
数据执行保护的作用是什么?
数据执行保护 (DEP) 是一组硬件和软件技术,用来对内存执行附加检查以帮助防止恶意代码的入侵。在 Windows XP SP2 中,由硬件和软件强制执行 DEP。

硬件强制的 DEP

硬件强制的 DEP 将一个进程中所有内存位置均标记为非可执行,除非该位置明确包含可执行代码。有一类攻击程序企图在非可执行的内存位置中插入代码并执行代码。通过截取这些代码并产生一个异常,数据执行保护有助于防范这些攻击。

软件强制的 DEP

Windows XP SP2 中已经添加了另一组数据执行保护的安全检查。这些检查功能也称为软件强制的 DEP,旨在降低 Windows 异常处理机制的使用。软件强制的 DEP 能够在可运行 Windows XP SP2 的任何处理器上运行。默认情况下,软件强制的 DEP 仅保护有限的系统二进制文件,而不管处理器的硬件强制 DEP 功能如何。

软件强制的 DEP

软件强制的 DEP 对 Windows 中的异常处理机制执行额外的检查。如果程序的图像文件是使用安全结构异常处理 (SafeSEH) 功能建立的,则软件强制的 DEP 将确保在调度异常之前,在图像文件中的函数表中注册了异常处理程序。

如果程序的图像文件不是使用 SafeSEH 建立的,则软件强制的 DEP 将确保在调度异常之前,位于内存区域中的异常处理程序已经标记为可执行。

五、系统级保护:
  基于Windows NT的操作系统的最大问题是它们易受缓冲区溢出漏洞的攻击。现在,SP2中的RPC机制已被彻底修改了一番。它不再拥有完全的权限,在缺省防火墙行为下,RPC不再是一个主要的目标。在“冲击波”带来的混乱之后,这对微软来说是一个不错的改变。微软的编译程序得到了增强,如此一来,大量操作系统的核心组件将得到重新编译,以防止缓冲区溢出。

  在内核中主要的改变之一是对硬件强制不执行的附加支持。支持该特性的CPU可以保护程序代码,帮助防止内存袭击型的病毒攻击。
从WindowsXPServicePack2开始,32位版本的Windows开始使用由AMD定义的非执行页面保护(NX)处理器功能或由Intel定义的执行禁用位(ExecuteDisablebit)功能。要使用这些处理器功能,处理器必须以“物理地址扩展”(PAE)模式运行。64位版本的WindowsXP使用64位扩展上的NX处理器功能,以及IPF处理器上访问权限页表项(PTE)字段中的某些值。

数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows XP Tablet PC Edition 2005 中,由硬件和软件一起强制实施 DEP。

DEP 的主要优点是可以帮助防止数据页执行代码。通常情况下,不从默认堆和堆栈执行代码。硬件实施 DEP 检测从这些位置运行的代码,并在发现执行情况时引发异常。软件实施 DEP 可帮助阻止恶意代码利用 Windows 中的异常处理机制进行破坏。
硬件实施 DEP
除了显式包含可执行代码的内存位置外,硬件实施 DEP 将进程中的所有内存位置均标记为不可执行。有一类攻击是尝试在不可执行的内存位置插入代码并运行它。DEP 可通过截获这些攻击并引发一个异常来帮助阻止这些攻击。

硬件实施 DEP 依靠处理器硬件来使用属性标记内存,此属性指明不能从该内存执行代码。DEP 以虚拟内存页面为单位运行,通常情况下更改 Page Table Entry (PTE) 中的位来标记内存页面。

处理器体系结构确定 DEP 在硬件中的实现方式以及 DEP 标记虚拟内存页面的方式。但是,在从使用合适属性集标记的页面执行代码时,支持硬件实施 DEP 的处理器可能引发异常。

Advanced Micro Devices (AMD) 和 Intel 已经定义并发布了与 Windows 兼容的体系结构,该体系结构与 DEP 兼容。

从 Windows XP SP2 开始,Windows 的 32 位版本使用下列功能之一: • 由 AMD 定义的 No-Execute Page-Protection (NX) 处理器功能。
• 由 Intel 定义的 Execute Disable Bit (XD) 功能。
要使用这些处理器功能,处理器必须以物理地址扩展 (PAE) 模式运行。但是,Windows 将自动启用 PAE 模式来支持 DEP。用户不必使用 /PAE 启动开关来单独启用 PAE。

注意:由于 64 位内核识别地址窗口化扩展插件 (AWE),因此在 Windows 的 64 位版本中没有单独的 PAE 内核。

软件实施 DEP
Windows XP SP2 中已添加另一套数据执行保护安全检查。这些称为软件实施 DEP 的检查旨在阻止利用 Windows 中异常处理机制的恶意代码。软件实施 DEP 运行在可以运行 Windows XP SP2 的任意处理器上。默认情况下,不管处理器的硬件实施 DEP 功能如何,软件实施 DEP 都是只帮助保护受限的系统二进制文件。
DEP 的主要优点是帮助阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。通常情况下,不从默认堆和堆栈执行代码。硬件实施 DEP 检测从这些位置运行的代码,并在发现执行情况时引发异常。如果异常未得到处理,进程将停止。在内核模式下从受保护的内存执行代码会导致“停止”错误。

DEP 可帮助阻止某类安全入侵。具体而言就是,DEP 可帮助阻止某种恶意程序,在这种恶意程序中,病毒或其他类型的攻击会在进程中插入一段附加代码,并试图运行此插入代码。在带有 DEP 的系统上,执行插入代码会导致发生异常。软件实施 DEP 可帮助阻止利用 Windows 中异常处理机制的程序。

历史博文

标签:, , , , , ,
十月 25, 2006 at 12:40 下午 by yippee 1,028 次
Category: RAN乱
Tags: , , , , , ,