Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Визначення категорій захисту корпоративної пам'яті Dell Endpoint Security Suite

Résumé: У цій статті наведено визначення категорій захисту пам'яті.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Примітка:

Продукти, на які впливають:

  • Dell Endpoint Security Suite для підприємств

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac

Примітка: Щоб перейти до повідомлень категорії: Кінцеві точки ->Розширені загрози ->Спроби експлойтів (Threats Activities)

SLN306461_en_US__2ddpkm1130b
Малюнок 1: (Лише англійською мовою) Детальна інформація про кінцеві точки Розширені загрози

Stack Pivot – стек для потоку замінено іншим стеком. Як правило, комп'ютер виділяє один стек для потоку. Зловмисник використовує інший стек для керування виконанням таким чином, щоб Data Execution Prevention (DEP) не блокував.

Stack Protect – захист пам'яті стека потоку було змінено, щоб увімкнути дозвіл на виконання. Стекова пам'ять не повинна бути виконуваною, тому зазвичай це означає, що зловмисник готується запустити шкідливий код, який зберігається в пам'яті стека як частина експлойта, спробу, яку в іншому випадку заблокувала б система запобігання виконанню даних (DEP).

Код перезапису - код, що знаходиться в пам'яті процесу, був змінений за допомогою методу, який може вказувати на спробу обійти запобігання виконанню даних (DEP).

Скрейпінг оперативної пам'яті - процес намагається зчитати дійсні дані доріжки магнітної смуги з іншого процесу. Зазвичай пов'язані з комп'ютерами для торгових точок (POS).

Шкідливе корисне навантаження – виявлено загальний shellcode і виявлення корисного навантаження, пов'язане з експлуатацією.

Віддалене виділення пам'яті - Процес виділив пам'ять в іншому процесі. Більшість виділень відбувається в рамках одного і того ж процесу. Зазвичай це вказує на спробу впровадити код або дані в інший процес, що може бути першим кроком у посиленні зловмисної присутності на комп'ютері.

Віддалене відображення пам'яті - Процес ввів код або дані в інший процес. Це може вказувати на спробу запуску коду в іншому процесі та посилювати присутність зловмисників.

Віддалений запис в пам'ять - процес змінив пам'ять в іншому процесі. Зазвичай це спроба зберегти код або дані в раніше виділеній пам'яті (див. OutOfProcessAllocation), але можливо, що зловмисник намагається перезаписати існуючу пам'ять, щоб перенаправити виконання для зловмисної мети.

Віддалений запис PE в пам'ять - Процес змінив пам'ять в іншому процесі, щоб він містив виконуваний образ. Як правило, це вказує на те, що зловмисник намагається запустити код без попереднього запису цього коду на диск.

Код віддаленого перезапису - процес змінив виконувану пам'ять в іншому процесі. У звичайних умовах виконувана пам'ять не модифікується, особливо іншим процесом. Зазвичай це вказує на спробу перенаправити виконання в інший процес.

Віддалене розблокування карти пам'яті - процес видалив виконуваний файл Windows з пам'яті іншого процесу. Це може вказувати на намір замінити виконуваний образ зміненою копією для відволікання виконання.

Remote Thread Creation – процес створив потік в іншому процесі. Потоки процесу створюються лише цим самим процесом. Зловмисники використовують це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.

Remote APC Schedule (Запланований віддалений APC) — процес перенаправив виконання потоку іншого процесу. Це використовується зловмисником для активації шкідливої присутності, яка була впроваджена в інший процес.

DYLD Injection - Встановлено змінну середовища, яка спричиняє впровадження спільної бібліотеки у запущений процес. Атаки можуть змінювати список програм, таких як Safari, або замінювати програми сценаріями bash, які спричиняють автоматичне завантаження їхніх модулів під час запуску програми.

LSASS Read – доступ до пам'яті, що належить процесу Центру локальної безпеки Windows, був отриманий у спосіб, що вказує на спробу отримати паролі користувачів.

Zero Allocate - Виділено нульову сторінку. Область пам'яті, як правило, зарезервована, але за певних обставин вона може бути виділена. Атаки можуть використовувати це для налаштування підвищення привілеїв, використовуючи деякі відомі експлойти з нульовими розіменуваннями, як правило, в ядрі.

Тип порушення за операційною системою

У наведеній нижче таблиці вказано, який тип порушення пов'язаний з якою операційною системою.

Тип Операційна система
Стек Pivot Windows, OS X
Захист стека Windows, OS X
Перезаписати код Вікна
Скрейпінг оперативної пам'яті Вікна
Шкідливе корисне навантаження Вікна
Віддалений розподіл пам'яті Windows, OS X
Віддалене відображення пам'яті Windows, OS X
Віддалений запис в пам'ять Windows, OS X
Віддалений запис PE в пам'ять Вікна
Віддалений перезапис коду Вікна
Віддалене розблокування карти пам'яті Вікна
Віддалене створення загроз Windows, OS X
Віддалений APC за розкладом Вікна
Ін'єкція DYLD OS X
LSAAS Читати Вікна
Нульовий розподіл Windows, OS X

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Informations supplémentaires

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.