Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Dell Endpoint Security Suite Enterprise 記憶體保護類別定義

Résumé: 本文提供記憶體保護類別的定義。

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

注意:

受影響的產品:

  • Dell Endpoint Security Suite Enterprise

受影響的作業系統:

  • Windows
  • Mac

注意:若要移至類別訊息:端點 ->進階威脅 ->利用嘗試 (威脅活動)

SLN306461_en_US__2ddpkm1130b
圖 1:(僅英文)端點詳細資料 進階威脅

堆疊透視 - 線程的堆疊已替換為其他堆疊。一般來說,電腦會為執行緒分配單一堆疊。攻擊者會使用不同的堆疊,以預防資料執行 (DEP) 無法封鎖的方式控制執行。

堆疊保護 - 修改執行緒堆疊的記憶體保護,以啟用執行權限。堆疊記憶體不應為可執行,因此這通常表示攻擊者準備執行儲存在堆疊記憶體中的惡意程式碼,預防資料執行 (DEP) 會封鎖這樣的嘗試。

覆寫程式 碼 - 程式記憶體中的程式碼已遭到可能代表嘗試略過預防資料執行 (DEP) 的技術修改。

RAM 消除 - 一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料。通常與銷售點電腦 (POS) 有關。

惡意負載 - 偵測到與惡意利用相關的一般 Shellcode 和負載偵測。

遠端配置記憶體 - 程序已在另一個程序中配置記憶體。大部分的分配都在同一程序中進行。這通常表示嘗試將程式碼或資料注入另一個程序,這可能是在電腦內強化惡意軟體的第一個步驟。

遠端對應 記憶體 - 一個程序已將程式碼或資料導入另一個程序。這可能表示嘗試在另一個程序中開始執行程式碼,並強化其中的惡意軟體。

遠端寫入至記憶體 - 程序已在另一個程序中修改了記憶體。這通常是嘗試將程式碼或資料儲存在先前分配的記憶體中 (請參閱 OutOfProcessAllocation),但也可能是攻擊者正在嘗試覆寫現有的記憶體,以轉移執行惡意軟體的目的。

遠端寫入 PE 至記憶體 - 程序已在另一個程序中修改記憶體,以包含可執行檔映像。通常這表示攻擊者在並未將程式碼寫入磁碟的情況下,正在嘗試執行程式碼。

遠端覆寫程式碼 - 程序已在另一個程序中修改了可執行檔記憶體。在正常情況下無法修改可執行檔記憶體,特別是透過另一個程序。這通常表示正在嘗試在另一個程序中轉移執行。

遠端取消對應 記憶體 - 一個程序已從另一個程序的記憶體中移除一個 Windows 可執行檔。這可能表示將可執行檔映像替換為修改後複本,以轉移執行的意圖。

遠端建立執行緒 - 一個程序已在另一個程序中建立執行緒。程序的執行緒僅會由相同的程序建立。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。

遠端 APC 排程 - 程序已轉移執行其他程序的執行緒。攻擊者會使用此功能來啟用注入另一個程序的惡意軟體。

DYLD 注入 - 已設置環境變數,導致共用庫注入到啟動的進程中。攻擊可能會修改 Safari 等應用程式的 plist,或將應用程式替換為 bash 指令檔,導致在應用程式啟動時自動載入其模組。

LSASS 讀取 - Windows Local Security Authority 程序的記憶體遭到存取,表示有人正在嘗試取得使用者的密碼。

零分配 - 已分配 null 頁。記憶體區域通常會保留,但在某些情況下可進行分配。攻擊可利用一些通常位於核心內的已知 null 反參照漏洞,來設定權限提升。

依作業系統而定的違規類型

下表引用了與哪個操作系統相關的違規類型。

類型 作業系統
堆疊轉動 Windows、OS X
堆疊保護 Windows、OS X
覆寫程式碼 Windows
RAM 消除 Windows
惡意裝載 Windows
遠端配置記憶體 Windows、OS X
遠端對應記憶體 Windows、OS X
遠端寫入至記憶體 Windows、OS X
遠端寫入 PE 至記憶體 Windows
遠端覆寫程式碼 Windows
遠端取消對應記憶體 Windows
遠端威脅建立 Windows、OS X
遠端排程 APC Windows
DYLD 注入 OS X
LSAAS 讀取 Windows
零分配 Windows、OS X

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.