Dell Endpoint Security Suite Enterprise 内存保护类别定义

受影响的产品：

• Dell Endpoint Security Suite Enterprise

受影响的操作系统：

• Windows
• Mac

图 1：（仅限英文）端点详细信息 高级威胁

堆栈透视 - 线程的堆栈已替换为不同的堆栈。通常，计算机为线程分配单个堆栈。攻击者将使用不同的堆栈，以数据执行预防 (DEP) 不会阻止的方式控制执行。

堆栈保护 - 已修改线程堆栈的内存保护以启用执行权限。堆栈内存不应是可执行的，因此通常这意味着攻击者在利用时准备运行存储在堆栈内存中的恶意代码，否则数据执行预防 (DEP) 会阻止这种尝试。

覆盖代码 - 驻留在进程内存中的代码已使用可能指示尝试绕过数据执行预防 （DEP） 的技术进行了修改。

RAM 抓取 — 进程正在尝试从另一个进程读取有效的磁条磁道数据。通常与销售点计算机 (POS) 相关。

恶意有效负载 — 检测到与利用关联的通用 shellcode 和有效负载检测。

远程分配内存 - 进程在另一个进程中分配了内存。大多数分配在同一流程中进行。这通常表示尝试将代码或数据注入另一个进程，这可能是加强计算机上恶意存在的第一步。

内存的远程映射 — 一个进程将代码或数据引入到另一个进程中。这可能表示尝试在另一个进程中开始运行代码，并加强了恶意存在。

远程写入内存 — 进程在另一个进程中修改了内存。这通常是尝试将代码或数据存储在以前分配的内存中（请参阅 OutOfProcessAllocation），但攻击者可能试图覆盖现有内存，以便出于恶意目的而转移执行。

将 PE 远程写入内存 — 进程在另一个进程中修改了内存以包含可执行映像。通常，这表示攻击者尝试运行代码而不先将该代码写入磁盘。

远程覆盖代码 - 进程在另一个进程中修改了可执行内存。在正常情况下，可执行内存不会修改，尤其是其他进程。这通常表示尝试在另一个过程中转移执行。

远程取消内存映射 - 进程已从另一个进程的内存中删除 Windows 可执行文件。这可能表示意图将可执行映像替换为修改后的拷贝，以转移执行。

远程线程创建 - 一个进程在另一个进程中创建了一个线程。进程的线程仅由同一进程创建。攻击者使用它来激活已注入到另一个进程的恶意存在。

远程 APC 计划 - 进程已转移另一个进程线程的执行。攻击者使用它来激活已注入到另一个进程的恶意存在。

DYLD 注入 - 设置了一个环境变量，导致共享库注入到启动的进程中。攻击可以修改 Safari 等应用程序的 plist，或者将应用程序替换为 bash 脚本，导致在应用程序启动时自动加载其模块。

LSASS 读取 - 已以指示尝试获取用户密码的方式访问属于 Windows 本地安全机构进程的内存。

零分配 - 已分配空页面。内存区域通常保留，但在某些情况下可以分配。攻击可以通过利用一些已知的空引用漏洞（通常在内核中）来设置权限升级。

操作系统的违规类型

下表引用了与哪个操作系统相关的违规类型。

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。