Siirry pääsisältöön
Kirjaudu ulos

Tervetuloa Dellin asiakkaaksi

Oma tili
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä
  • Hallitse Dell EMC-sivustoja, tuotteita ja tuote-tason yhteystietoja yrityksen hallinnan avulla.
Kirjaudu sisään Luo tili Premier-kirjautuminen Kumppaniohjelman sisäänkirjautumissivu
Ota yhteyttä

Artikkelin numero: 000124724

Dell Endpoint Security Suite Enterpriseメモリー保護カテゴリーの定義

Yhteenveto: この記事では、メモリー保護カテゴリーの定義について説明します。

Tämä artikkeli on saatettu kääntää automaattisesti. Jos sinulla on palautetta sen laadusta, ilmoita siitä meille käyttämällä tämän sivun alareunassa olevaa lomaketta.

Artikkelin sisältö

Ohjeet

注:

対象製品:

  • Dell Endpoint Security Suite Enterprise

対象オペレーティング システム:

  • Windows
  • Mac
注:カテゴリー メッセージに移動するには、次の手順を実行します。エンドポイント ->高度な脅威 ->悪用の試行 (脅威アクティビティ)

SLN306461_en_US__2ddpkm1130b
図1: (英語のみ)エンドポイントの詳細 高度な脅威

スタック ピボット - スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。

スタック保護 - スレッドのスタックのメモリ保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。

コードの上書き - プロセスのメモリに存在するコードが、データ実行防止 (DEP) をバイパスする試みを示す手法を使用して変更されています。

RAMスクレイピング - プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POSコンピューターに関連しています。

悪意のあるペイロード - エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。

メモリのリモート割り当て - プロセスが別のプロセスでメモリを割り当てました。ほとんどの割り当ては、同じプロセス内で行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。

メモリのリモートマッピング - プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始しようとしていることを示しており、悪意のある存在を強化している可能性があります。

Remote Write to Memory - プロセスが別のプロセスのメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。

Remote Write PE to Memory - プロセスが別のプロセスのメモリーを変更して、実行可能イメージを格納しました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示しています。

リモート上書きコード - プロセスが別のプロセスの実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。

メモリのリモート割り当て解除 - プロセスが別のプロセスのメモリから Windows 実行可能ファイルを削除しました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。

リモート スレッド作成 - プロセスが別のプロセスにスレッドを作成しました。プロセスのスレッドは、同じプロセスによってのみ作成されます。攻撃者はこれを使用して、別のプロセスに注入された悪意のある存在をアクティブ化します。

Remote APC Scheduled - プロセスが別のプロセスのスレッドの実行を転用しました。これは、別のプロセスに注入された悪意のある存在をアクティブ化するために攻撃者によって使用されます。

DYLDインジェクション - 起動されたプロセスに共有ライブラリーをインジェクトする環境変数が設定されています。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。

LSASS Read - Windows Local Security Authorityプロセスに属するメモリーが、ユーザーのパスワード取得試行を示す方法でアクセスされました。

Zero Allocate - ヌル ページが割り当てられています。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを悪用して、通常はカーネルで既知のnull De-referenceエクスプロイトを悪用して、権限のエスカレーションをセットアップできます。

オペレーティング システム別の違反タイプ

次の表は、どの違反タイプがどのオペレーティング システムに関連しているかを示しています。

コマンド オペレーティングシステム
スタック ピボット Windows、OS X
スタック保護 Windows、OS X
コードを上書き Windows
RAMスクレイピング Windows
悪意のあるペイロード Windows
メモリーのリモート割り当て Windows、OS X
メモリーのリモート マッピング Windows、OS X
メモリーへのリモート書き込み Windows、OS X
メモリーへのリモート書き込みPE Windows
リモート上書きコード Windows
メモリーのリモート マッピング解除 Windows
リモートでの脅威の作成 Windows、OS X
スケジュールされたリモートAPC Windows
DYLDインジェクション OS Xの
LSAAS読み取り Windows
ゼロ割り当て Windows、OS X

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Lisätietoja

 

Videot

 

Artikkelin ominaisuudet

Tuote, johon asia vaikuttaa

Dell Endpoint Security Suite Enterprise

Edellinen julkaisupäivä

07 toukok. 2024

Versio

8

Artikkelin tyyppi

How To

Takaisin ylös