Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Dell Endpoint Security Suite Enterprise geheugenbescherming Categoriedefinities

Résumé: Dit artikel bevat definities voor geheugenbeschermingscategorieën.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Opmerking:

Betreffende producten:

  • Dell Endpoint Security Suite Enterprise

Betreffende besturingssystemen:

  • Windows
  • Mac

Opmerking: Ga als volgt naar de categorie berichten: Eindpunten ->Geavanceerde bedreigingen ->Exploitpogingen (bedreigingsactiviteiten)

SLN306461_en_US__2ddpkm1130b
Afbeelding 1: (Alleen In het Engels) Details eindpunt Geavanceerde bedreigingen

Stack Pivot - De stack voor een schroefdraad is vervangen door een andere stack. Over het algemeen wijst de computer één stack toe voor een thread. Een aanvaller zou een andere stack gebruiken om de uitvoering te controleren op een manier die Data Execution Prevention (DEP) niet blokkeert.

Stackbeveiliging : de geheugenbeveiliging van de stack van een thread is gewijzigd om uitvoeringsmachtigingen in te schakelen. Stackgeheugen mag niet uitvoerbaar zijn, dus meestal betekent dit dat een aanvaller zich voorbereidt op het uitvoeren van kwaadaardige code die is opgeslagen in het stackgeheugen als onderdeel van een exploit, een poging die Data Execution Prevention (DEP) anders zou blokkeren.

Code overschrijven : code die zich in het geheugen van een proces bevindt, is gewijzigd met behulp van een techniek die kan duiden op een poging om Data Execution Prevention (DEP) te omzeilen.

RAM Scraping - Een proces probeert geldige magneetstriptrackdata van een ander proces te lezen. Meestal gerelateerd aan point-of-sale computers (POS).

Schadelijke payload : er is een generieke shellcode en payload-detectie gedetecteerd die is gekoppeld aan uitbuiting.

Remote Allocation of Memory - Een proces heeft geheugen toegewezen in een ander proces. De meeste toewijzingen vinden plaats binnen hetzelfde proces. Dit duidt over het algemeen op een poging om code of gegevens in een ander proces te injecteren, wat een eerste stap kan zijn in het versterken van een kwaadaardige aanwezigheid op een computer.

Remote mapping of memory - Een proces heeft code of data in een ander proces geïntroduceerd. Dit kan duiden op een poging om code in een ander proces uit te voeren en versterkt een schadelijke aanwezigheid.

Extern schrijven naar geheugen - Een proces heeft het geheugen in een ander proces gewijzigd. Dit is meestal een poging om code of data op te slaan in eerder toegewezen geheugen (zie OutOfProcessAllocation), maar het is mogelijk dat een aanvaller het bestaande geheugen probeert te overschrijven om de uitvoering voor een kwaadaardig doel af te leiden.

Externe schrijf-PE naar geheugen - Een proces heeft het geheugen in een ander proces gewijzigd om een uitvoerbare image te bevatten. Over het algemeen geeft dit aan dat een aanvaller probeert code uit te voeren zonder die code eerst naar de schijf te schrijven.

Code op afstand overschrijven : een proces heeft het uitvoerbare geheugen in een ander proces gewijzigd. Onder normale omstandigheden wordt het uitvoerbare geheugen niet gewijzigd, vooral niet door een ander proces. Dit duidt meestal op een poging om de uitvoering in een ander proces af te leiden.

Remote Unmapping of Memory - Een proces heeft een Windows-uitvoerbaar bestand uit het geheugen van een ander proces verwijderd. Dit kan erop wijzen dat het de bedoeling is om de uitvoerbare image te vervangen door een gewijzigde kopie om de uitvoering om te leiden.

Externe threads maken : een proces heeft een thread gemaakt in een ander proces. De threads van een proces worden alleen gemaakt door datzelfde proces. Aanvallers gebruiken dit om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd.

Remote APC Scheduled - Een proces heeft de uitvoering van de thread van een ander proces omgeleid. Dit wordt door een aanvaller gebruikt om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd.

DYLD Injection - Er is een omgevingsvariabele ingesteld die ervoor zorgt dat een gedeelde bibliotheek wordt geïnjecteerd in een gestart proces. Aanvallen kunnen de lijst met applicaties zoals Safari wijzigen of applicaties vervangen door bash-scripts die ervoor zorgen dat hun modules automatisch worden geladen wanneer een applicatie wordt gestart.

LSASS Lezen : er is toegang verkregen tot het geheugen van de Windows Local Security Authority op een manier die duidt op een poging om wachtwoorden van gebruikers te achterhalen.

Zero Allocation : er is een null-pagina toegewezen. Het geheugengebied is doorgaans gereserveerd, maar kan onder bepaalde omstandigheden worden toegewezen. Aanvallen kunnen dit gebruiken om escalatie van bevoegdheden in te stellen door gebruik te maken van een bekende null de-reference-exploit, meestal in de kernel.

Type overtreding per besturingssysteem

In de volgende tabel wordt aangegeven welk type overtreding betrekking heeft op welk besturingssysteem.

Typ Besturingssysteem
Draaipunt stack Windows, OS X
Stackbescherming Windows, OS X
Code overschrijven Windows
RAM Scraping Windows
Schadelijke payload Windows
Externe toewijzing van geheugen Windows, OS X
Externe toewijzing van geheugen Windows, OS X
Extern schrijven naar geheugen Windows, OS X
Op afstand PE naar geheugen schrijven Windows
Externe overschrijfcode Windows
Externe toewijzing van geheugen ongedaan maken Windows
Externe bedreigingen maken Windows, OS X
Externe APC gepland Windows
DYLD-injectie OS X
LSAAS lezen Windows
Geen toewijzing Windows, OS X

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.