Dell Endpoint Security Suite Enterprise 記憶體保護類別定義

受影響的產品：

• Dell Endpoint Security Suite Enterprise

受影響的作業系統：

• Windows
• Mac

圖 1：（僅英文）端點詳細資料 進階威脅

堆疊透視 - 線程的堆疊已替換為其他堆疊。一般來說，電腦會為執行緒分配單一堆疊。攻擊者會使用不同的堆疊，以預防資料執行 (DEP) 無法封鎖的方式控制執行。

堆疊保護 - 修改執行緒堆疊的記憶體保護，以啟用執行權限。堆疊記憶體不應為可執行，因此這通常表示攻擊者準備執行儲存在堆疊記憶體中的惡意程式碼，預防資料執行 (DEP) 會封鎖這樣的嘗試。

覆寫程式 碼 - 程式記憶體中的程式碼已遭到可能代表嘗試略過預防資料執行 （DEP） 的技術修改。

RAM 消除 - 一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料。通常與銷售點電腦 (POS) 有關。

惡意負載 - 偵測到與惡意利用相關的一般 Shellcode 和負載偵測。

遠端配置記憶體 - 程序已在另一個程序中配置記憶體。大部分的分配都在同一程序中進行。這通常表示嘗試將程式碼或資料注入另一個程序，這可能是在電腦內強化惡意軟體的第一個步驟。

遠端對應 記憶體 - 一個程序已將程式碼或資料導入另一個程序。這可能表示嘗試在另一個程序中開始執行程式碼，並強化其中的惡意軟體。

遠端寫入至記憶體 - 程序已在另一個程序中修改了記憶體。這通常是嘗試將程式碼或資料儲存在先前分配的記憶體中 (請參閱 OutOfProcessAllocation)，但也可能是攻擊者正在嘗試覆寫現有的記憶體，以轉移執行惡意軟體的目的。

遠端寫入 PE 至記憶體 - 程序已在另一個程序中修改記憶體，以包含可執行檔映像。通常這表示攻擊者在並未將程式碼寫入磁碟的情況下，正在嘗試執行程式碼。

遠端覆寫程式碼 - 程序已在另一個程序中修改了可執行檔記憶體。在正常情況下無法修改可執行檔記憶體，特別是透過另一個程序。這通常表示正在嘗試在另一個程序中轉移執行。

遠端取消對應 記憶體 - 一個程序已從另一個程序的記憶體中移除一個 Windows 可執行檔。這可能表示將可執行檔映像替換為修改後複本，以轉移執行的意圖。

遠端建立執行緒 - 一個程序已在另一個程序中建立執行緒。程序的執行緒僅會由相同的程序建立。攻擊者會使用此功能，啟用注入另一個程序的惡意軟體。

遠端 APC 排程 - 程序已轉移執行其他程序的執行緒。攻擊者會使用此功能來啟用注入另一個程序的惡意軟體。

DYLD 注入 - 已設置環境變數，導致共用庫注入到啟動的進程中。攻擊可能會修改 Safari 等應用程式的 plist，或將應用程式替換為 bash 指令檔，導致在應用程式啟動時自動載入其模組。

LSASS 讀取 - Windows Local Security Authority 程序的記憶體遭到存取，表示有人正在嘗試取得使用者的密碼。

零分配 - 已分配 null 頁。記憶體區域通常會保留，但在某些情況下可進行分配。攻擊可利用一些通常位於核心內的已知 null 反參照漏洞，來設定權限提升。

依作業系統而定的違規類型

下表引用了與哪個操作系統相關的違規類型。

如要聯絡支援部門，請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect，以線上產生技術支援要求。
如需更多深入見解與資源，請加入 Dell 安全性社群論壇。