Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Definisjoner i kategorien Dell Endpoint Security Suite Enterprise-minnebeskyttelse

Résumé: Denne artikkelen inneholder definisjoner for minnebeskyttelseskategorier.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Merk:

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise

Berørte operativsystemer:

  • Windows
  • Mac

Merk: Slik går du til kategorimeldinger: Endepunkter –>avanserte trusler –>utnyttelsesforsøk (trusler)

SLN306461_en_US__2ddpkm1130b
Figur 1: (Bare på engelsk) Avanserte trusler om endepunktsdetaljer

Stakkpivot – Stakken for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke blokkerer.

Stack Protect – Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere utførelsestillatelse. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ville blokkert.

Overskriv kode – kode som befinner seg i prosessminnet, er endret ved hjelp av en teknikk som kan indikere et forsøk på å omgå Data Execution Prevention (DEP).

RAM-skraping - En prosess prøver å lese gyldige magnetstripespordata fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS).

Skadelig nyttelast – det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse.

Ekstern tildeling av minne - En prosess har tildelt minne i en annen prosess. De fleste tildelingene skjer innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin.

Ekstern tilordning av minne - En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterker en ondsinnet tilstedeværelse.

Ekstern skriving til minne - En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutOfProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål.

Ekstern skriving PE til minne - En prosess har endret minnet i en annen prosess for å inneholde et kjørbart bilde. Vanligvis indikerer dette at en angriper prøver å kjøre kode uten først å skrive koden til disken.

Ekstern overskrivingskode – en prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess.

Ekstern tilordning av minne – En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen.

Remote Thread Creation - En prosess har opprettet en tråd i en annen prosess. En prosess-tråder opprettes bare av den samme prosessen. Angripere bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

Ekstern APC planlagt – en prosess har omdirigert utførelsen av tråden til en annen prosess. Dette brukes av en angriper til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

DYLD-injeksjon – det er angitt en miljøvariabel som fører til at et delt bibliotek injiseres i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter.

LSASS Read - Minne som tilhører Windows Local Security Authority-prosessen, er åpnet på en måte som indikerer et forsøk på å hente brukernes passord.

Null allokering – En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å sette opp eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen.

Type brudd på operativsystemet

Tabellen nedenfor refererer til hvilken bruddtype som er relatert til hvilket operativsystem.

Skriv inn Operativsystem
Stack Pivot Windows, OS X
Stack Protect Windows, OS X
Overskriv kode Windows
RAM-skraping Windows
Skadelig nyttelast Windows
Ekstern tildeling av minne Windows, OS X
Ekstern tilordning av minne Windows, OS X
Ekstern skriving til minne Windows, OS X
Ekstern PE til minne Windows
Ekstern overskrivingskode Windows
Ekstern tilknytning til minnet Windows
Ekstern oppretting av trusler Windows, OS X
Ekstern APC planlagt Windows
DYLD-injeksjon OS X
LSAAAS Les Windows
Null tildeling Windows, OS X

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.