Gå vidare till huvudinnehållet
  • Lägg beställningar snabbt och enkelt
  • Visa beställningar och kontrollera leveransstatus
  • Skapa och kom åt en lista över dina produkter

Dell Endpoint Security Suite Enterprise Memory Protection Kategoridefinitioner

Sammanfattning: Den här artikeln innehåller definitioner för Memory Protection kategorier.

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.

Instruktioner

Obs!

Berörda produkter:

  • Dell Endpoint Security Suite Enterprise

Berörda operativsystem:

  • Windows
  • Mac

Obs! Så här går du till kategorimeddelanden: Slutpunkter –>Avancerade hot –>Exploateringsförsök (hotaktiviteter)

SLN306461_en_US__2ddpkm1130b
Bild 1: (Endast på engelska) Slutpunktsinformation Avancerade hot

Stack Pivot – Stacken för en tråd har ersatts med en annan stack. I allmänhet allokerar datorn en enda stack för en tråd. En angripare skulle använda en annan stack för att styra körningen på ett sätt som dataexekveringsskydd (DEP) inte blockerar.

Stack Protect – Minnesskyddet för en tråds stack har ändrats för att aktivera körningsbehörighet. Stackminnet ska inte vara körbart, så vanligtvis innebär det att en angripare förbereder sig för att köra skadlig kod som lagras i stackminnet som en del av en sårbarhet, ett försök som dataexekveringsskydd (DEP) annars skulle blockera.

Skriv över kod – Kod som finns i en processs minne har ändrats med en teknik som kan tyda på ett försök att kringgå dataexekveringsskydd (DEP).

RAM-skrapning – En process försöker läsa giltiga spårdata för magnetremsor från en annan process. Vanligtvis relaterat till datorer i kassan (POS).

Skadlig nyttolast – En allmän skalkod och nyttolastidentifiering som är associerad med exploatering har identifierats.

Fjärrallokering av minne – En process har allokerat minne i en annan process. De flesta allokeringar sker inom samma process. Detta indikerar vanligtvis ett försök att injicera kod eller data i en annan process, vilket kan vara ett första steg för att förstärka en skadlig närvaro på en dator.

Fjärrmappning av minne – En process har introducerat kod eller data i en annan process. Detta kan tyda på ett försök att börja köra kod i en annan process och förstärka en skadlig närvaro.

Fjärrskrivning till minne – En process har modifierat minnet i en annan process. Detta är vanligtvis ett försök att lagra kod eller data i tidigare allokerat minne (se OutOfProcessAllocation), men det är möjligt att en angripare försöker skriva över befintligt minne för att omdirigera körningen i ett skadligt syfte.

Fjärrskrivning PE till minnet – En process har modifierat minnet i en annan process så att det innehåller en körbar avbildning. I allmänhet indikerar detta att en angripare försöker köra kod utan att först skriva koden till disken.

Kod för fjärröverskrivning – En process har modifierat körbart minne i en annan process. Under normala förhållanden ändras inte det körbara minnet, särskilt inte genom en annan process. Detta indikerar vanligtvis ett försök att avleda körningen i en annan process.

Fjärravmappning av minne – En process har tagit bort en körbar Windows-fil från minnet för en annan process. Detta kan tyda på en avsikt att ersätta den körbara avbildningen med en modifierad kopia för att omdirigera körningen.

Skapa fjärrtråd – En process har skapat en tråd i en annan process. En processs trådar skapas bara av samma process. Angripare använder detta för att aktivera en skadlig närvaro som har matats in i en annan process.

Fjärr-APC schemalagd – En process har omdirigerat körningen av en annan processtråd. Detta används av en angripare för att aktivera en skadlig närvaro som har injicerats i en annan process.

DYLD-injektion – En miljövariabel har ställts in som gör att ett delat bibliotek injiceras i en startad process. Attacker kan ändra plist för program som Safari eller ersätta program med bash-skript som gör att deras moduler läses in automatiskt när ett program startas.

LSASS Read – Minnet som tillhör Windows Local Security Authority-processen har använts på ett sätt som indikerar ett försök att få tag på användarnas lösenord.

Zero Allocate - En null-sida har allokerats. Minnesregionen är vanligtvis reserverad, men under vissa omständigheter kan den allokeras. Attacker kan använda detta för att ställa in privilegieeskalering genom att dra fördel av vissa kända sårbarheter för null-avreferering, vanligtvis i kärnan.

Överträdelsetyp efter operativsystem

I följande tabell hänvisas till vilken typ av överträdelse som gäller för vilket operativsystem.

Typ Operativsystem
Pivotering av stacken Windows, OS X
Skydda stacken Windows, OS X
Skriv över kod Windows
RAM-skrapning Windows
Skadlig nyttolast Windows
Fjärrallokering av minne Windows, OS X
Fjärrmappning av minne Windows, OS X
Fjärrskrivning till minnet Windows, OS X
Fjärrskrivning PE till minnet Windows
Kod för fjärröverskrivning Windows
Fjärravkarta över minne Windows
Skapa fjärrhot Windows, OS X
Fjärr-APC, schemalagd Windows
DYLD-injektion OS X
Läs LSAAS Windows
Noll allokering Windows, OS X

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Ytterligare information

 

Videor

 

Berörda produkter

Dell Endpoint Security Suite Enterprise
Artikelegenskaper
Artikelnummer: 000124724
Artikeltyp: How To
Senast ändrad: 07 maj 2024
Version:  8
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.