Przejdź do głównej zawartości
  • Szybkie i łatwe składanie zamówień
  • Wyświetlanie zamówień i śledzenie stanu wysyłki
  • Tworzenie i dostęp do listy produktów

Definicje kategorii ochrony pamięci rozwiązania Dell Endpoint Security Suite Enterprise

Podsumowanie: Ten artykuł zawiera definicje kategorii ochrony pamięci.

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.

Instrukcje

Uwaga:

Dotyczy produktów:

  • Dell Endpoint Security Suite Enterprise

Dotyczy systemów operacyjnych:

  • Windows
  • Mac

Uwaga: Aby przejść do kategorii wiadomości: Punkty końcowe —>zaawansowane zagrożenia —>próby wykorzystania luk (działania zagrożeń)

SLN306461_en_US__2ddpkm1130b
Rysunek 1. (Tylko w języku angielskim) Szczegółowe informacje o punktach końcowych Zaawansowane zagrożenia

Stos przestawny — stos wątku został zastąpiony innym stosem. Ogólnie komputer przydziela jeden stos dla wątku. Osoba atakująca użyje innego stosu do kontrolowania wykonania w taki sposób, którego zapobieganie wykonywaniu danych nie blokuje.

Stack Protect — ochrona pamięci stosu wątku została zmodyfikowana w celu włączenia uprawnień do wykonywania. Pamięć stosu nie powinna być wykonywalna, dlatego zazwyczaj oznacza to, że osoba atakująca przygotowuje się do uruchomienia złośliwego kodu przechowywanego w pamięci stosu w ramach programu wykorzystującego luki. W przeciwnym razie zapobieganie wykonywaniu danych zablokowałoby tę próbę.

Zastąp kod — kod znajdujący się w pamięci procesu został zmodyfikowany przy użyciu techniki, która może wskazywać na próbę obejścia funkcji zapobiegania wykonywaniu danych (DEP).

Skrobanie pamięci RAM — proces próbuje odczytać prawidłowe dane ścieżki paska magnetycznego z innego procesu. Zazwyczaj dotyczy komputerów w punktach sprzedaży (POS).

Złośliwy ładunek — wykryto ogólny kod powłoki i wykrywanie ładunku związane z exploitem.

Zdalna alokacja pamięci — proces przydzielił pamięć innemu procesowi. Większość alokacji odbywa się w ramach tego samego procesu. Zazwyczaj oznacza to próbę wprowadzenia kodu lub danych do innego procesu, co może być pierwszym krokiem wzmacniania złośliwej obecności na komputerze.

Zdalne mapowanie pamięci — proces wprowadził kod lub dane do innego procesu. Może to wskazywać na próbę uruchomienia kodu w innym procesie i wzmacnia złośliwą obecność.

Zdalny zapis do pamięci — proces zmodyfikował pamięć w innym procesie. Jest to zazwyczaj próba przechowywania kodu lub danych we wcześniej przydzielonej pamięci (patrz OutofProcessAllocation), ale możliwe jest, że osoba atakująca próbuje nadpisać istniejącą pamięć w celu przekierowania wykonania w złośliwym celu.

Zdalny zapis PE do pamięci — proces zmodyfikował pamięć w innym procesie, aby zawierała obraz wykonywalny. Ogólnie oznacza to, że osoba atakująca próbuje uruchomić kod bez uprzedniego zapisania tego kodu na dysku.

Zdalne nadpisywanie kodu — proces zmodyfikował pamięć wykonywalną w innym procesie. W normalnych warunkach pamięć wykonywalna nie jest modyfikowana, zwłaszcza przez inny proces. Zazwyczaj oznacza to próbę przekierowania wykonania w innym procesie.

Zdalne usuwanie mapowania pamięci — proces usunął plik wykonywalny systemu Windows z pamięci innego procesu. Może to oznaczać zamiar zastąpienia obrazu wykonywalnego zmodyfikowaną kopią w celu przekierowania wykonania.

Zdalne tworzenie wątku — proces utworzył wątek w innym procesie. Wątki procesu są tworzone tylko przez ten sam proces. Osoby atakujące używają tego do aktywowania złośliwej obecności, która została wstrzyknięta do innego procesu.

Zaplanowane zdalnie APC — proces przekierował wykonywanie wątku innego procesu. Jest to wykorzystywane przez osobę atakującą do aktywacji złośliwej obecności, która została wstrzyknięta do innego procesu.

Iniekcja DYLD — ustawiono zmienną środowiskową, która powoduje wstrzyknięcie biblioteki udostępnionej do uruchomionego procesu. Ataki mogą zmodyfikować listę aplikacji, takich jak Safari, lub zastąpić aplikacje skryptami bash, które powodują automatyczne ładowanie modułów podczas uruchamiania aplikacji.

Odczyt LSASS — dostęp do pamięci należącej do procesu urzędu zabezpieczeń lokalnych systemu Windows został uzyskany w sposób, który wskazuje próbę uzyskania haseł użytkowników.

Przydzielanie zera — przydzielono stronę o wartości null. Region pamięci jest zazwyczaj zarezerwowany, ale w pewnych okolicznościach można go przydzielić. Ataki mogą wykorzystać to do skonfigurowania eskalacji uprawnień przy użyciu znanego exploita typu null de-referencing, zwykle w jądrze.

Typ naruszenia według systemu operacyjnego

Poniższa tabela zawiera informacje o typie naruszenia powiązanym z danym systemem operacyjnym.

Wpisz System operacyjny
Obracanie stosu Windows, OS X
Ochrona stosu Windows, OS X
Nadpisywanie kodu Windows
RAM Scraping Windows
Szkodliwe obciążenie Windows
Zdalna alokacja pamięci Windows, OS X
Zdalne mapowanie pamięci Windows, OS X
Zdalny zapis do pamięci Windows, OS X
Zdalny zapis PE do pamięci Windows
Kod nadpisania zdalnego Windows
Zdalne usuwanie mapowania pamięci Windows
Zdalne tworzenie zagrożeń Windows, OS X
Zaplanowano zdalne APC Windows
Wprowadzanie DYLD OS X
LSAAS odczyt Windows
Alokacja zero Windows, OS X

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Dodatkowe informacje

 

Filmy

 

Produkty, których dotyczy problem

Dell Endpoint Security Suite Enterprise
Właściwości artykułu
Numer artykułu: 000124724
Typ artykułu: How To
Ostatnia modyfikacja: 07 maj 2024
Wersja:  8
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.