跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

文章編號: 000124724

Definições de categoria do Dell Endpoint Security Suite Enterprise Memory Protection

摘要: Este artigo fornece definições para categorias de proteção de memória.

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容

說明

Nota:

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise

Sistemas operacionais afetados:

  • Windows
  • Mac
Nota: Para acessar as mensagens de categoria: Endpoints ->Ameaças avançadas ->Tentativas de exploração (atividades de ameaças)

SLN306461_en_US__2ddpkm1130b
Figura 1: (Somente em inglês) Detalhe do endpoint Ameaças avançadas

Stack Pivot - A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.

Stack Protect - A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).

Substituir código - O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de ignorar a Prevenção de Execução de Dados (DEP).

Raspagem de RAM – Um processo está tentando ler dados válidos de rastreamento de tarja magnética de outro processo. Normalmente, relacionados a computadores de ponto de venda (POS).

Payload mal-intencionado - Foi detectada uma detecção genérica de shellcode e payload associada à exploração.

Alocação remota de memória - Um processo alocou memória em outro processo. A maioria das alocações ocorre no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Mapeamento remoto de memória - Um processo introduziu código ou dados em outro processo. Isso pode indicar uma tentativa de começar a executar código em outro processo e reforça uma presença mal-intencionada.

Gravação remota na memória - Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Remote Write PE to Memory - Um processo modificou a memória em outro processo para conter uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Código de sobregravação remota - Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Desmapeamento remoto da memória - Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Criação de thread remoto - Um processo criou um thread em outro processo. Os threads de um processo são criados somente por esse mesmo processo. Os invasores usam isso para ativar uma presença mal-intencionada que foi injetada em outro processo.

APC remoto agendado - Um processo desviou a execução do thread de outro processo. Isso é usado por um invasor para ativar uma presença mal-intencionada que foi injetada em outro processo.

DYLD Injection - uma variável de ambiente foi definida que faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Leitura LSASS: a memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma maneira que indica uma tentativa de obter as senhas dos usuários.

Alocação zero - Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usar isso para configurar o escalonamento de privilégios aproveitando alguma exploração conhecida de desatribuição nula, normalmente no kernel.

Tipo de violação por sistema operacional

A tabela a seguir faz referência a qual Tipo de violação está relacionado a qual sistema operacional.

Digite Sistema operacional
Stack pivot Windows, OS X
Proteção de pilha Windows, OS X
Substituir código Windows
RAM Scraping Windows
Payload mal-intencionada Windows
Alocação remota de memória Windows, OS X
Mapeamento remoto da memória Windows, OS X
Gravação remota na memória Windows, OS X
Gravação remota de PE na memória Windows
Substituir código remoto Windows
Cancelamento do mapeamento remoto de memória Windows
Criação remota de ameaças Windows, OS X
APC remoto agendado Windows
Injeção DYLD OS X
LSAAS lido Windows
Alocação zero Windows, OS X

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

其他資訊

 

影片

 

文章屬性

受影響的產品

Dell Endpoint Security Suite Enterprise

上次發佈日期

07 5月 2024

版本

8

文章類型

How To

返回頁首