Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise Definitioner af hukommelsesbeskyttelse

Summary: Denne artikel indeholder definitioner af kategorier for hukommelsesbeskyttelse.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Bemærk:

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise

Påvirkede operativsystemer:

  • Windows
  • Mac

Bemærk: Sådan går du til kategorimeddelelser: Slutpunkter –>Avancerede trusler –>Udnyttelsesforsøg (trusselsaktiviteter)

SLN306461_en_US__2ddpkm1130b
Figur 1: (Kun på engelsk) Slutpunktsdetaljer Avancerede trusler

Stack Pivot – Stakken for en tråd er blevet erstattet med en anden stack. Generelt tildeler computeren en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke blokerer.

Stack Protect – Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere kørselstilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ville blokere.

Overskrivningskode – Koden i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå Forhindring af datakørsel (DEP).

RAM-skrabning - En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS).

Ondsindet nyttelast - En generisk shellcode og nyttelast detektion, der er forbundet med udnyttelse er blevet opdaget.

Fjernallokering af hukommelse – En proces har tildelt hukommelse i en anden proces. De fleste tildelinger finder sted inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer.

Fjerntilknytning af hukommelse – En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærker en ondsindet tilstedeværelse.

Fjernskrivning til hukommelse – En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutOfProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål.

Remote Write PE to Memory – En proces har ændret hukommelsen i en anden proces, så den indeholder et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken.

Fjernoverskrivningskode – En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces.

Fjernfjernelse af hukommelse – En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen.

Remote Thread Creation - En proces har oprettet en tråd i en anden proces. En proces' tråde oprettes kun af den samme proces. Angribere bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

Ekstern APC planlagt – En proces har omdirigeret udførelsen af en anden procestråd. Dette bruges af en hacker til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

DYLD-injektion – Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter.

LSASS Read – Der er opnået adgang til hukommelse, der hører til Windows Local Security Authority-processen, på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder.

Nulallokering - Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at opsætte eskalering af rettigheder ved at udnytte en kendt null-dereference-udnyttelse, typisk i kernen.

Overtrædelsestype efter operativsystem

Følgende tabel refererer til, hvilken overtrædelsestype der er relateret til hvilket operativsystem.

Skriv Operativsystem
Stakkens rotation Windows, OS X
Stakbeskyttelse Windows, OS X
Overskriv kode Windows
RAM-skrabning Windows
Ondsindet nyttelast Windows
Fjernallokering af hukommelse Windows, OS X
Fjerntilknytning af hukommelse Windows, OS X
Fjernskrivning til hukommelse Windows, OS X
Fjernskrivning af PE til hukommelse Windows
Fjernoverskrivningskode Windows
Fjernafbildning af hukommelse Windows
Oprettelse af fjerntrusler Windows, OS X
Planlagt ekstern APC Windows
DYLD-injektion OS X
LSAAS Læs Windows
Nul allokering Windows, OS X

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.