Article Number: 000124724
Dell Endpoint Security Suite Enterprise Memory Protection Kategoridefinitioner
Summary: Den här artikeln innehåller definitioner för Memory Protection kategorier.
Article Content
Instructions
Obs!
- Från och med maj 2022 har Dell Endpoint Security Suite Enterprise nått slutet på underhåll. Den här artikeln uppdateras inte längre av Dell. Mer information finns i Policy för produktlivscykel (slut på support/slut på livscykel) för Dell Data Security. Om du har frågor om alternativa artiklar kan du kontakta ditt försäljningsteam eller endpointsecurity@dell.com.
- Mer information om aktuella produkter finns i Endpoint Security.
Berörda produkter:
- Dell Endpoint Security Suite Enterprise
Berörda operativsystem:
- Windows
- Mac
Obs! Så här går du till kategorimeddelanden: Slutpunkter –>Avancerade hot –>Exploateringsförsök (hotaktiviteter)
Bild 1: (Endast på engelska) Slutpunktsinformation Avancerade hot
Stack Pivot – Stacken för en tråd har ersatts med en annan stack. I allmänhet allokerar datorn en enda stack för en tråd. En angripare skulle använda en annan stack för att styra körningen på ett sätt som dataexekveringsskydd (DEP) inte blockerar.
Stack Protect – Minnesskyddet för en tråds stack har ändrats för att aktivera körningsbehörighet. Stackminnet ska inte vara körbart, så vanligtvis innebär det att en angripare förbereder sig för att köra skadlig kod som lagras i stackminnet som en del av en sårbarhet, ett försök som dataexekveringsskydd (DEP) annars skulle blockera.
Skriv över kod – Kod som finns i en processs minne har ändrats med en teknik som kan tyda på ett försök att kringgå dataexekveringsskydd (DEP).
RAM-skrapning – En process försöker läsa giltiga spårdata för magnetremsor från en annan process. Vanligtvis relaterat till datorer i kassan (POS).
Skadlig nyttolast – En allmän skalkod och nyttolastidentifiering som är associerad med exploatering har identifierats.
Fjärrallokering av minne – En process har allokerat minne i en annan process. De flesta allokeringar sker inom samma process. Detta indikerar vanligtvis ett försök att injicera kod eller data i en annan process, vilket kan vara ett första steg för att förstärka en skadlig närvaro på en dator.
Fjärrmappning av minne – En process har introducerat kod eller data i en annan process. Detta kan tyda på ett försök att börja köra kod i en annan process och förstärka en skadlig närvaro.
Fjärrskrivning till minne – En process har modifierat minnet i en annan process. Detta är vanligtvis ett försök att lagra kod eller data i tidigare allokerat minne (se OutOfProcessAllocation), men det är möjligt att en angripare försöker skriva över befintligt minne för att omdirigera körningen i ett skadligt syfte.
Fjärrskrivning PE till minnet – En process har modifierat minnet i en annan process så att det innehåller en körbar avbildning. I allmänhet indikerar detta att en angripare försöker köra kod utan att först skriva koden till disken.
Kod för fjärröverskrivning – En process har modifierat körbart minne i en annan process. Under normala förhållanden ändras inte det körbara minnet, särskilt inte genom en annan process. Detta indikerar vanligtvis ett försök att avleda körningen i en annan process.
Fjärravmappning av minne – En process har tagit bort en körbar Windows-fil från minnet för en annan process. Detta kan tyda på en avsikt att ersätta den körbara avbildningen med en modifierad kopia för att omdirigera körningen.
Skapa fjärrtråd – En process har skapat en tråd i en annan process. En processs trådar skapas bara av samma process. Angripare använder detta för att aktivera en skadlig närvaro som har matats in i en annan process.
Fjärr-APC schemalagd – En process har omdirigerat körningen av en annan processtråd. Detta används av en angripare för att aktivera en skadlig närvaro som har injicerats i en annan process.
DYLD-injektion – En miljövariabel har ställts in som gör att ett delat bibliotek injiceras i en startad process. Attacker kan ändra plist för program som Safari eller ersätta program med bash-skript som gör att deras moduler läses in automatiskt när ett program startas.
LSASS Read – Minnet som tillhör Windows Local Security Authority-processen har använts på ett sätt som indikerar ett försök att få tag på användarnas lösenord.
Zero Allocate - En null-sida har allokerats. Minnesregionen är vanligtvis reserverad, men under vissa omständigheter kan den allokeras. Attacker kan använda detta för att ställa in privilegieeskalering genom att dra fördel av vissa kända sårbarheter för null-avreferering, vanligtvis i kärnan.
Överträdelsetyp efter operativsystem
I följande tabell hänvisas till vilken typ av överträdelse som gäller för vilket operativsystem.
| Typ | Operativsystem |
|---|---|
| Pivotering av stacken | Windows, OS X |
| Skydda stacken | Windows, OS X |
| Skriv över kod | Windows |
| RAM-skrapning | Windows |
| Skadlig nyttolast | Windows |
| Fjärrallokering av minne | Windows, OS X |
| Fjärrmappning av minne | Windows, OS X |
| Fjärrskrivning till minnet | Windows, OS X |
| Fjärrskrivning PE till minnet | Windows |
| Kod för fjärröverskrivning | Windows |
| Fjärravkarta över minne | Windows |
| Skapa fjärrhot | Windows, OS X |
| Fjärr-APC, schemalagd | Windows |
| DYLD-injektion | OS X |
| Läs LSAAS | Windows |
| Noll allokering | Windows, OS X |
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.
Additional Information
Videos
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To