Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Dell Endpoint Security Suite Enterprisen muistisuojausluokkien määritelmät

Résumé: Tässä artikkelissa on Memory Protection -luokkien määritelmät.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Huomautus:

Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac

Huomautus: Voit siirtyä luokkaviesteihin seuraavasti: Päätepisteet –>Kehittyneet uhat –>Hyväksikäyttöyritykset (uhkien toiminnot)

SLN306461_en_US__2ddpkm1130b
Kuva 1: (Englanninkielinen) Päätepisteen tiedot Kehittyneet uhat

Stack Pivot - Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä.

Stack Protect – Säikepinon muistisuojausta on muutettu niin, että se sallii suorituksen. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten.

Korvaa koodi – Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).

RAM-muistin kaavinta - Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy yleensä myyntipistetietokoneisiin (POS).

Haitallinen hyötykuorma – Yleinen komentotulkin koodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.

Muistin etävaraus - Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.

Muistin etäkartoitus – prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.

Etäkirjoitus muistiin - Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.

Remote Write PE to Memory - Prosessi on muokannut muistia toisessa prosessissa sisältämään suoritettavan kuvan. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.

Koodin korvaaminen etänä – Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.

Muistin etäkartoituksen poisto – Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.

Säikeen etäluonti - Prosessi on luonut säikeen toisessa prosessissa. Prosessin säikeet luodaan vain samalla prosessilla. Hyökkääjät käyttävät tätä aktivoidakseen haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Etä-APC ajoitettu – Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän ominaisuuden avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

DYLD-injektio - On asetettu ympäristömuuttuja, joka aiheuttaa jaetun kirjaston injektoinnin käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.

LSASS Read – Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankkimisyritykseen.

Nollakohdistus – tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä tunnettua null de-reference -hyväksikäyttöä, joka on tyypillistä ytimessä.

Rikkomuksen tyyppi käyttöjärjestelmän mukaan

Seuraavassa taulukossa kerrotaan, mikä rikkomuksen tyyppi liittyy mihinkin käyttöjärjestelmään.

Kirjoita Käyttöjärjestelmä
Pinon kierto Windows, OS X
Pinon suojaus Windows, OS X
Korvauskoodi Windows
RAM-muistin haalinta Windows
Haitallinen tietosisältö Windows
Muistin etävaraus Windows, OS X
Muistin etäkartoitus Windows, OS X
Etäkirjoitus muistiin Windows, OS X
PE:n etäkirjoitus muistiin Windows
Etäkorvauskoodi Windows
Muistin etäpoisto Windows
Uhkien etäluonti Windows, OS X
Etä-APC ajoitettu Windows
DYLD-lisäys OS X
LSAAS Lue Windows
Nollavaraus Windows, OS X

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.