Przejdź do głównej zawartości
  • Szybkie i łatwe składanie zamówień
  • Wyświetlanie zamówień i śledzenie stanu wysyłki
  • Tworzenie i dostęp do listy produktów

Dell Endpoint Security Suite Enterprisen muistisuojausluokkien määritelmät

Podsumowanie: Tässä artikkelissa on Memory Protection -luokkien määritelmät.

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.

Instrukcje

Huomautus:

Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac

Huomautus: Voit siirtyä luokkaviesteihin seuraavasti: Päätepisteet –>Kehittyneet uhat –>Hyväksikäyttöyritykset (uhkien toiminnot)

SLN306461_en_US__2ddpkm1130b
Kuva 1: (Englanninkielinen) Päätepisteen tiedot Kehittyneet uhat

Stack Pivot - Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä.

Stack Protect – Säikepinon muistisuojausta on muutettu niin, että se sallii suorituksen. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten.

Korvaa koodi – Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).

RAM-muistin kaavinta - Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy yleensä myyntipistetietokoneisiin (POS).

Haitallinen hyötykuorma – Yleinen komentotulkin koodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.

Muistin etävaraus - Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.

Muistin etäkartoitus – prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.

Etäkirjoitus muistiin - Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.

Remote Write PE to Memory - Prosessi on muokannut muistia toisessa prosessissa sisältämään suoritettavan kuvan. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.

Koodin korvaaminen etänä – Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.

Muistin etäkartoituksen poisto – Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.

Säikeen etäluonti - Prosessi on luonut säikeen toisessa prosessissa. Prosessin säikeet luodaan vain samalla prosessilla. Hyökkääjät käyttävät tätä aktivoidakseen haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

Etä-APC ajoitettu – Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän ominaisuuden avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.

DYLD-injektio - On asetettu ympäristömuuttuja, joka aiheuttaa jaetun kirjaston injektoinnin käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.

LSASS Read – Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankkimisyritykseen.

Nollakohdistus – tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä tunnettua null de-reference -hyväksikäyttöä, joka on tyypillistä ytimessä.

Rikkomuksen tyyppi käyttöjärjestelmän mukaan

Seuraavassa taulukossa kerrotaan, mikä rikkomuksen tyyppi liittyy mihinkin käyttöjärjestelmään.

Kirjoita Käyttöjärjestelmä
Pinon kierto Windows, OS X
Pinon suojaus Windows, OS X
Korvauskoodi Windows
RAM-muistin haalinta Windows
Haitallinen tietosisältö Windows
Muistin etävaraus Windows, OS X
Muistin etäkartoitus Windows, OS X
Etäkirjoitus muistiin Windows, OS X
PE:n etäkirjoitus muistiin Windows
Etäkorvauskoodi Windows
Muistin etäpoisto Windows
Uhkien etäluonti Windows, OS X
Etä-APC ajoitettu Windows
DYLD-lisäys OS X
LSAAS Lue Windows
Nollavaraus Windows, OS X

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Dodatkowe informacje

 

Filmy

 

Produkty, których dotyczy problem

Dell Endpoint Security Suite Enterprise
Właściwości artykułu
Numer artykułu: 000124724
Typ artykułu: How To
Ostatnia modyfikacja: 07 maj 2024
Wersja:  8
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.