Автор Тема: Какво е DEP - Data Excecution Prevention и как може да ни помогне?  (Прочетена 1812 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.    

Неактивен Diabolik

  • зарибен/а
  • зарибен/а
  • ****
  • Публикации: 116
  • Пол: Мъж
  • Black Panther
    • Профил
    • Даволският Блог
Data Execution Prevention - DEP Помага да се ограничи действието на някои вируси по-точно TSR (Terminate and Stay Resident) вируси които заразяват файл докато работи, I-worms (internet worms) - които следят браузването на потребителя, разпространяват се със сайтове, или използват потребителя като междинна точка от заразена PHP база данни се прехвърлят на компютъра и чакат потребителя да отвори друга база данни и кгато тръгне да праща попълнена форма, червея прикрива активността си като напада базата данни - праща свое копие в РНР базата, заедно с трафика на потребителя, @mm Worms (email worms) които се разпространяват като прикриват активността си като разпращат свои копия в адресната книга, после изтриват пратените от тях писма, и ги от папката изтрита поща изтриват своите копия, без да пипат другото съдържание на папката, и Spam rely - програми които превръщат компютъра в спам разпрателна станция, която тайно разпраща спам, като си прикрива трафика, като го праща когато потребителя си проверява пощата, и точи поща, като изпращат спама, след което от папката изпратени писма изтрива своите спамове, и след това ги изтрива от папката изтрита поща, без да променя другото и съдържание за да се прикрие, както и други заплахи за сигурността като Rootkits и Code injection & execution, Които сами по себе си се крият и стартират и прикриват друг код/процес/файл в паметта, или области в паметта които са предназначени за ОС или друго работещо приложение. Този тип опасности, се ползват масово от e-mail червеи, някои вируси и Rootkits, и може да се използва за да нанесе вреди по файлавете ви, да отвори задна врата в сигурността или друго потенциално опасно действие. За разлика от огнената стена, или антивирусната програма, DEP не предовратява инсталацията на вредната програма. DEP следи дали въпросната програма работи само в своята област от паметта. Технологията работи като маркира дадена област от паметта - една или повече, според конкретният случай, като non-ececutable за всички други програми, освен за процесът който първоначално е обособил тази област за свои нужди. Основното предимство на тази технология е че когато процес, се опита да си сигури достъп до област от паметта която е обособена от друг процес, това бива забелязано и спряно, а потребителят предупреден че процесът стартират от даден файл се опитва тайнода извърши непозволено действие. Технологията може да работи на самостоятелни софтуелно или хардуерно ниво, но за усетите пълната защита и предимстава на технологията, ви трябва комбинация от процесор и операционна система които имат реализирана тази технология. Когато имате процесор с DEP но ОС без DEP вие тряба ръчно да иницализирате и стартирате DEP чрез промяна на параметрите на стартиране на ОС, и работи само на хардуерно ниво. Когато имате процесор без DEP но ОС с DEP, DEP се инициализира на софтуерно ниво от операционната система. Технологията предлага 3 нива на защита:

1. Ниско ниво на защита - софтуерно, Когато операционната система, сама по себе си има вградена такава функция и ОС следи за работа на програмите - Софтуерната DEP защита помага за защита в рамките на процесите които се управляват от операционната система - самите процеси на ОС и потребителските управлявани от ОС, но не осигурява пълна защита на паметта и процесите. Недостатъка тук е че се следи само Операционната система и всичко с което тя се занимава.

2. Високо ниво на защита - Когато тази защитна технология е вградена в процесора - Хардуерната DEP система дава много по-добри резултати, защото първоночално маркира дадена област от паметта като non-ececutable за всички други програми, освен за процесът който първоначално е обособил тази област за свои нужди, и след това следи всичките процеси които вървят в процесора и в цялата памет на компютъра. като допълнителна защита необработвани процеси примерно вирус/червей които чакат своя Rootkit да ги покрие преди да се задействат ще бъдат принудително спирани, а потребителя ще бъде известяван за поведението на въпросните файлове. Като допълнителна защита, процес който се опитва да придобие приоритет Kernel mode process (ring 0) както rootkits правят преди да повдигнат правата за достъп и па прикрият някой процес, биват директно спирани от DEP. Това води до защита от още един клас атаки - инжектиране на изпълним код във вече вървящ процес. Ако това събитие стане, DEP на хардуерно ниво спира процеса който инжектира код и процеса в който се инжектира кода, за да се осигури пълна защита. Недостатъка тук е че трябва ръчно да промените параметрите на ОС за да инициализира и стартира DEP на процесора.

3. много високо ниво на защита - най-добрият за вас случай - когато в процесора и Операционната система я има вградена тази технология и двете се допълват едно друго с взаимно допълващите рутини и правила за откриване и контрол на подобни процеси - Най-добрият вариант е когато имате комбинация от процесор с DEP и ОС с DEP. Тогава още при стартирането си, първата работа на ОС е ПЪРВО и ПРЕДИ ВСИЧКО ОСТАНАЛО да ивициализира и стартира DEP на процесора, след това ОС стартира своите DEP рутини, и чак след като DEP е успешно стартиран на двете нива, се разрешава зареждане на драйвери, резидентни процеси, системни процеси, процедси та ядрото, шел на операционната система и резидентни потребителски програми ако има такива. По този начин се гарантира че Rootkits и вирусите/червеите/троянските коне/шпионите които трябва да се прикрият от Rootkits при стартирането си ща бъдат прихванати и моментално спряни. Тук недостатъка е че трябва да се похарчат повече пари за процесор и ОС в които има реализирани тези рутини, но пък печелите най-високото ниво на сигурност и най-надеждната форма на защита и пълно реализиране на защитният потенциал, който тази технология предлага. Тук вече се следи всичко на всички нива и няма оттърване и няма лабаво, или единия или другият ще забележи и ще реагира.