Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise Memory Protection Kategoridefinitioner

Summary: Den här artikeln innehåller definitioner för Memory Protection kategorier.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Obs!

Berörda produkter:

  • Dell Endpoint Security Suite Enterprise

Berörda operativsystem:

  • Windows
  • Mac

Obs! Så här går du till kategorimeddelanden: Slutpunkter –>Avancerade hot –>Exploateringsförsök (hotaktiviteter)

SLN306461_en_US__2ddpkm1130b
Bild 1: (Endast på engelska) Slutpunktsinformation Avancerade hot

Stack Pivot – Stacken för en tråd har ersatts med en annan stack. I allmänhet allokerar datorn en enda stack för en tråd. En angripare skulle använda en annan stack för att styra körningen på ett sätt som dataexekveringsskydd (DEP) inte blockerar.

Stack Protect – Minnesskyddet för en tråds stack har ändrats för att aktivera körningsbehörighet. Stackminnet ska inte vara körbart, så vanligtvis innebär det att en angripare förbereder sig för att köra skadlig kod som lagras i stackminnet som en del av en sårbarhet, ett försök som dataexekveringsskydd (DEP) annars skulle blockera.

Skriv över kod – Kod som finns i en processs minne har ändrats med en teknik som kan tyda på ett försök att kringgå dataexekveringsskydd (DEP).

RAM-skrapning – En process försöker läsa giltiga spårdata för magnetremsor från en annan process. Vanligtvis relaterat till datorer i kassan (POS).

Skadlig nyttolast – En allmän skalkod och nyttolastidentifiering som är associerad med exploatering har identifierats.

Fjärrallokering av minne – En process har allokerat minne i en annan process. De flesta allokeringar sker inom samma process. Detta indikerar vanligtvis ett försök att injicera kod eller data i en annan process, vilket kan vara ett första steg för att förstärka en skadlig närvaro på en dator.

Fjärrmappning av minne – En process har introducerat kod eller data i en annan process. Detta kan tyda på ett försök att börja köra kod i en annan process och förstärka en skadlig närvaro.

Fjärrskrivning till minne – En process har modifierat minnet i en annan process. Detta är vanligtvis ett försök att lagra kod eller data i tidigare allokerat minne (se OutOfProcessAllocation), men det är möjligt att en angripare försöker skriva över befintligt minne för att omdirigera körningen i ett skadligt syfte.

Fjärrskrivning PE till minnet – En process har modifierat minnet i en annan process så att det innehåller en körbar avbildning. I allmänhet indikerar detta att en angripare försöker köra kod utan att först skriva koden till disken.

Kod för fjärröverskrivning – En process har modifierat körbart minne i en annan process. Under normala förhållanden ändras inte det körbara minnet, särskilt inte genom en annan process. Detta indikerar vanligtvis ett försök att avleda körningen i en annan process.

Fjärravmappning av minne – En process har tagit bort en körbar Windows-fil från minnet för en annan process. Detta kan tyda på en avsikt att ersätta den körbara avbildningen med en modifierad kopia för att omdirigera körningen.

Skapa fjärrtråd – En process har skapat en tråd i en annan process. En processs trådar skapas bara av samma process. Angripare använder detta för att aktivera en skadlig närvaro som har matats in i en annan process.

Fjärr-APC schemalagd – En process har omdirigerat körningen av en annan processtråd. Detta används av en angripare för att aktivera en skadlig närvaro som har injicerats i en annan process.

DYLD-injektion – En miljövariabel har ställts in som gör att ett delat bibliotek injiceras i en startad process. Attacker kan ändra plist för program som Safari eller ersätta program med bash-skript som gör att deras moduler läses in automatiskt när ett program startas.

LSASS Read – Minnet som tillhör Windows Local Security Authority-processen har använts på ett sätt som indikerar ett försök att få tag på användarnas lösenord.

Zero Allocate - En null-sida har allokerats. Minnesregionen är vanligtvis reserverad, men under vissa omständigheter kan den allokeras. Attacker kan använda detta för att ställa in privilegieeskalering genom att dra fördel av vissa kända sårbarheter för null-avreferering, vanligtvis i kärnan.

Överträdelsetyp efter operativsystem

I följande tabell hänvisas till vilken typ av överträdelse som gäller för vilket operativsystem.

Typ Operativsystem
Pivotering av stacken Windows, OS X
Skydda stacken Windows, OS X
Skriv över kod Windows
RAM-skrapning Windows
Skadlig nyttolast Windows
Fjärrallokering av minne Windows, OS X
Fjärrmappning av minne Windows, OS X
Fjärrskrivning till minnet Windows, OS X
Fjärrskrivning PE till minnet Windows
Kod för fjärröverskrivning Windows
Fjärravkarta över minne Windows
Skapa fjärrhot Windows, OS X
Fjärr-APC, schemalagd Windows
DYLD-injektion OS X
Läs LSAAS Windows
Noll allokering Windows, OS X

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.