Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprisen muistisuojausluokkien määritelmät

Summary: Tässä artikkelissa on Memory Protection -luokkien määritelmät.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Huomautus:

Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac

Huomautus: Voit siirtyä luokkaviesteihin seuraavasti: Päätepisteet –>Kehittyneet uhat –>Hyväksikäyttöyritykset (uhkien toiminnot)

SLN306461_en_US__2ddpkm1130b
Kuva 1: (Englanninkielinen) Päätepisteen tiedot Kehittyneet uhat

Stack Pivot - Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä.

Stack Protect – Säikepinon muistisuojausta on muutettu niin, että se sallii suorituksen. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten.

Korvaa koodi – Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).

RAM-muistin kaavinta - Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy yleensä myyntipistetietokoneisiin (POS).

Haitallinen hyötykuorma – Yleinen komentotulkin koodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.

Muistin etävaraus - Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.

Muistin etäkartoitus – prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.

Etäkirjoitus muistiin - Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.

Remote Write PE to Memory - Prosessi on muokannut muistia toisessa prosessissa sisältämään suoritettavan kuvan. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.

Koodin korvaaminen etänä – Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.

Muistin etäkartoituksen poisto – Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.

Säikeen etäluonti - Prosessi on luonut säikeen toisessa prosessissa. Prosessin säikeet luodaan vain samalla prosessilla. Hyökkääjät käyttävät tätä aktivoidakseen haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Etä-APC ajoitettu – Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän ominaisuuden avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

DYLD-injektio - On asetettu ympäristömuuttuja, joka aiheuttaa jaetun kirjaston injektoinnin käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.

LSASS Read – Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankkimisyritykseen.

Nollakohdistus – tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä tunnettua null de-reference -hyväksikäyttöä, joka on tyypillistä ytimessä.

Rikkomuksen tyyppi käyttöjärjestelmän mukaan

Seuraavassa taulukossa kerrotaan, mikä rikkomuksen tyyppi liittyy mihinkin käyttöjärjestelmään.

Kirjoita Käyttöjärjestelmä
Pinon kierto Windows, OS X
Pinon suojaus Windows, OS X
Korvauskoodi Windows
RAM-muistin haalinta Windows
Haitallinen tietosisältö Windows
Muistin etävaraus Windows, OS X
Muistin etäkartoitus Windows, OS X
Etäkirjoitus muistiin Windows, OS X
PE:n etäkirjoitus muistiin Windows
Etäkorvauskoodi Windows
Muistin etäpoisto Windows
Uhkien etäluonti Windows, OS X
Etä-APC ajoitettu Windows
DYLD-lisäys OS X
LSAAS Lue Windows
Nollavaraus Windows, OS X

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.