Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Определения категорий защиты памяти в Dell Endpoint Security Suite Enterprise

Сводка: В этой статье приведены определения категорий защиты памяти.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

Примечание.:

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise

Затронутые операционные системы:

  • Windows
  • Mac

Примечание.: Чтобы перейти к категории сообщений: Конечные точки ->Угрозы повышенной сложности ->Попытки использования эксплойтов (действия "Угрозы")

SLN306461_en_US__2ddpkm1130b
Рис. 1. (Только на английском языке) Сведения об конечных точках Угрозы повышенной сложности

Stack Pivot — стек для потока был заменен другим стеком. Как правило, компьютер выделяет один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не блокировала его.

Защита стека — защита памяти стека потока была изменена, чтобы включить разрешение на выполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) заблокировала бы эту попытку.

Перезаписать код — код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).

Скрейпинг ОЗУ — процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно относится к POS-терминалам.

Вредоносная полезная нагрузка — обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.

Удаленное выделение памяти — процесс выделил память в другом процессе. Большинство выделений происходит в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.

Удаленное сопоставление памяти — процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и усиливает вредоносное присутствие.

Удаленная запись в память — процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutOfProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.

Удаленная точка протокола записи в память — процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.

Код удаленной перезаписи — процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.

Удаленная отмена сопоставления памяти — процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.

Создание удаленного потока — процесс создал поток в другом процессе. Потоки процесса создаются только этим же процессом. Злоумышленники используют его для активации вредоносного присутствия, которое было введено в другой процесс.

Запланировано удаленное APC — процесс перенаправил исполнение потока другого процесса. Он используется злоумышленником для активации вредоносного присутствия, которое было введено в другой процесс.

DYLD Injection — была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.

Чтение LSASS — доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.

Ноль — выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.

Тип нарушения по операционной системе

В следующей таблице указывается, какой тип нарушения относится к той или иной операционной системе.

Введите Операционная система
Stack Pivot Windows, OS X
Stack Protect Windows, OS X
Overwrite Code Windows
Очистка ОЗУ Windows
Malicious Payload Windows
Remote Allocation of Memory Windows, OS X
Remote Mapping of Memory Windows, OS X
Remote Write to Memory Windows, OS X
Remote Write PE to Memory Windows
Remote Overwrite Code Windows
Remote Unmap of Memory Windows
Удаленное создание угроз Windows, OS X
Remote APC Scheduled Windows
Ввод DYLD OS X
Чтение LSAAS Windows
Zero Allocate Windows, OS X

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124724
Тип статьи: How To
Последнее изменение: 07 May 2024
Версия:  8
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.