Article Number: 000124724
Dell Endpoint Security Suite Enterprise Definitioner af hukommelsesbeskyttelse
Summary: Denne artikel indeholder definitioner af kategorier for hukommelsesbeskyttelse.
Article Content
Instructions
Bemærk:
- Fra og med maj 2022 har Dell Endpoint Security Suite Enterprise nået afslutningen for sin vedligeholdelse. Denne artikel opdateres ikke længere af Dell. Du kan få flere oplysninger i Politik for produktets levetid (slutdato for levetid/slutdato for support) for Dell Data Security. Hvis du har spørgsmål til alternative artikler, kan du kontakte din salgsafdeling eller endpointsecurity@dell.com.
- Se Slutpunktssikkerhed for at få yderligere oplysninger om aktuelle produkter.
Berørte produkter:
- Dell Endpoint Security Suite Enterprise
Påvirkede operativsystemer:
- Windows
- Mac
Bemærk: Sådan går du til kategorimeddelelser: Slutpunkter –>Avancerede trusler –>Udnyttelsesforsøg (trusselsaktiviteter)
Figur 1: (Kun på engelsk) Slutpunktsdetaljer Avancerede trusler
Stack Pivot – Stakken for en tråd er blevet erstattet med en anden stack. Generelt tildeler computeren en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke blokerer.
Stack Protect – Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere kørselstilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ville blokere.
Overskrivningskode – Koden i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå Forhindring af datakørsel (DEP).
RAM-skrabning - En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS).
Ondsindet nyttelast - En generisk shellcode og nyttelast detektion, der er forbundet med udnyttelse er blevet opdaget.
Fjernallokering af hukommelse – En proces har tildelt hukommelse i en anden proces. De fleste tildelinger finder sted inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer.
Fjerntilknytning af hukommelse – En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærker en ondsindet tilstedeværelse.
Fjernskrivning til hukommelse – En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutOfProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål.
Remote Write PE to Memory – En proces har ændret hukommelsen i en anden proces, så den indeholder et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken.
Fjernoverskrivningskode – En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces.
Fjernfjernelse af hukommelse – En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen.
Remote Thread Creation - En proces har oprettet en tråd i en anden proces. En proces' tråde oprettes kun af den samme proces. Angribere bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.
Ekstern APC planlagt – En proces har omdirigeret udførelsen af en anden procestråd. Dette bruges af en hacker til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.
DYLD-injektion – Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter.
LSASS Read – Der er opnået adgang til hukommelse, der hører til Windows Local Security Authority-processen, på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder.
Nulallokering - Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at opsætte eskalering af rettigheder ved at udnytte en kendt null-dereference-udnyttelse, typisk i kernen.
Overtrædelsestype efter operativsystem
Følgende tabel refererer til, hvilken overtrædelsestype der er relateret til hvilket operativsystem.
| Skriv | Operativsystem |
|---|---|
| Stakkens rotation | Windows, OS X |
| Stakbeskyttelse | Windows, OS X |
| Overskriv kode | Windows |
| RAM-skrabning | Windows |
| Ondsindet nyttelast | Windows |
| Fjernallokering af hukommelse | Windows, OS X |
| Fjerntilknytning af hukommelse | Windows, OS X |
| Fjernskrivning til hukommelse | Windows, OS X |
| Fjernskrivning af PE til hukommelse | Windows |
| Fjernoverskrivningskode | Windows |
| Fjernafbildning af hukommelse | Windows |
| Oprettelse af fjerntrusler | Windows, OS X |
| Planlagt ekstern APC | Windows |
| DYLD-injektion | OS X |
| LSAAS Læs | Windows |
| Nul allokering | Windows, OS X |
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.
Additional Information
Videos
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To