Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Definições de categoria do Dell Endpoint Security Suite Enterprise Memory Protection

Résumé: Este artigo fornece definições para categorias de proteção de memória.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Nota:

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise

Sistemas operacionais afetados:

  • Windows
  • Mac

Nota: Para acessar as mensagens de categoria: Endpoints ->Ameaças avançadas ->Tentativas de exploração (atividades de ameaças)

SLN306461_en_US__2ddpkm1130b
Figura 1: (Somente em inglês) Detalhe do endpoint Ameaças avançadas

Stack Pivot - A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.

Stack Protect - A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).

Substituir código - O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de ignorar a Prevenção de Execução de Dados (DEP).

Raspagem de RAM – Um processo está tentando ler dados válidos de rastreamento de tarja magnética de outro processo. Normalmente, relacionados a computadores de ponto de venda (POS).

Payload mal-intencionado - Foi detectada uma detecção genérica de shellcode e payload associada à exploração.

Alocação remota de memória - Um processo alocou memória em outro processo. A maioria das alocações ocorre no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Mapeamento remoto de memória - Um processo introduziu código ou dados em outro processo. Isso pode indicar uma tentativa de começar a executar código em outro processo e reforça uma presença mal-intencionada.

Gravação remota na memória - Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Remote Write PE to Memory - Um processo modificou a memória em outro processo para conter uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Código de sobregravação remota - Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Desmapeamento remoto da memória - Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Criação de thread remoto - Um processo criou um thread em outro processo. Os threads de um processo são criados somente por esse mesmo processo. Os invasores usam isso para ativar uma presença mal-intencionada que foi injetada em outro processo.

APC remoto agendado - Um processo desviou a execução do thread de outro processo. Isso é usado por um invasor para ativar uma presença mal-intencionada que foi injetada em outro processo.

DYLD Injection - uma variável de ambiente foi definida que faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Leitura LSASS: a memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma maneira que indica uma tentativa de obter as senhas dos usuários.

Alocação zero - Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usar isso para configurar o escalonamento de privilégios aproveitando alguma exploração conhecida de desatribuição nula, normalmente no kernel.

Tipo de violação por sistema operacional

A tabela a seguir faz referência a qual Tipo de violação está relacionado a qual sistema operacional.

Digite Sistema operacional
Stack pivot Windows, OS X
Proteção de pilha Windows, OS X
Substituir código Windows
RAM Scraping Windows
Payload mal-intencionada Windows
Alocação remota de memória Windows, OS X
Mapeamento remoto da memória Windows, OS X
Gravação remota na memória Windows, OS X
Gravação remota de PE na memória Windows
Substituir código remoto Windows
Cancelamento do mapeamento remoto de memória Windows
Criação remota de ameaças Windows, OS X
APC remoto agendado Windows
Injeção DYLD OS X
LSAAS lido Windows
Alocação zero Windows, OS X

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.