Article Number: 000124724
Определения категорий защиты памяти в Dell Endpoint Security Suite Enterprise
Summary: В этой статье приведены определения категорий защиты памяти.
Article Content
Instructions
Примечание.:
- По состоянию на май 2022 г., обслуживание Dell Endpoint Security Suite Enterprise прекращено. Эта статья больше не обновляется компанией Dell. Подробнее см. в статье Политика в отношении жизненного цикла продукта (окончание поддержки / снятие с производства) для Dell Data Security. Если у вас возникли вопросы по альтернативным статьям, обратитесь в отдел продаж или по адресу endpointsecurity@dell.com.
- Дополнительные сведения о текущих продуктах см. в разделе Endpoint Security.
Затронутые продукты:
- Dell Endpoint Security Suite Enterprise
Затронутые операционные системы:
- Windows
- Mac
Примечание.: Чтобы перейти к категории сообщений: Конечные точки ->Угрозы повышенной сложности ->Попытки использования эксплойтов (действия "Угрозы")
Рис. 1. (Только на английском языке) Сведения об конечных точках Угрозы повышенной сложности
Stack Pivot — стек для потока был заменен другим стеком. Как правило, компьютер выделяет один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не блокировала его.
Защита стека — защита памяти стека потока была изменена, чтобы включить разрешение на выполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) заблокировала бы эту попытку.
Перезаписать код — код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).
Скрейпинг ОЗУ — процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно относится к POS-терминалам.
Вредоносная полезная нагрузка — обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.
Удаленное выделение памяти — процесс выделил память в другом процессе. Большинство выделений происходит в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.
Удаленное сопоставление памяти — процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и усиливает вредоносное присутствие.
Удаленная запись в память — процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutOfProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.
Удаленная точка протокола записи в память — процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.
Код удаленной перезаписи — процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.
Удаленная отмена сопоставления памяти — процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.
Создание удаленного потока — процесс создал поток в другом процессе. Потоки процесса создаются только этим же процессом. Злоумышленники используют его для активации вредоносного присутствия, которое было введено в другой процесс.
Запланировано удаленное APC — процесс перенаправил исполнение потока другого процесса. Он используется злоумышленником для активации вредоносного присутствия, которое было введено в другой процесс.
DYLD Injection — была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.
Чтение LSASS — доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.
Ноль — выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.
Тип нарушения по операционной системе
В следующей таблице указывается, какой тип нарушения относится к той или иной операционной системе.
| Введите | Операционная система |
|---|---|
| Stack Pivot | Windows, OS X |
| Stack Protect | Windows, OS X |
| Overwrite Code | Windows |
| Очистка ОЗУ | Windows |
| Malicious Payload | Windows |
| Remote Allocation of Memory | Windows, OS X |
| Remote Mapping of Memory | Windows, OS X |
| Remote Write to Memory | Windows, OS X |
| Remote Write PE to Memory | Windows |
| Remote Overwrite Code | Windows |
| Remote Unmap of Memory | Windows |
| Удаленное создание угроз | Windows, OS X |
| Remote APC Scheduled | Windows |
| Ввод DYLD | OS X |
| Чтение LSAAS | Windows |
| Zero Allocate | Windows, OS X |
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.
Additional Information
Videos
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To