Técnicas de prevenção de exploits
Técnicas de prevenção de exploits
Técnica de prevenção de exploits | Descrição |
|---|---|
Prevenção Contra Execução de Dados (DEP, Data Execution Prevention) | A prevenção contra execução de dados bloqueia a execução do código arbitrário em áreas protegidas da memória. |
Randomização do Layout do Espaço de Endereço (ASLR, Address Space Layout Randomization) | Altera o layout das estruturas de dados no espaço do endereço do processo. |
Proteção contra Substituição do Gerenciador de Exceção Estruturada (SEHOP, Structured Exception Handler Overwrite Protection) | Substituição de registros de exceção ou substituição do gerenciador de exceção. |
Alocação de Página Nula | Prevenção contra o redirecionamento do ponteiro nulo. |
Verificação de Chamada de Rede LoadLibrary (Anti-ROP) | Proteção contra carregamento de DLLs de caminhos de rede. |
Pilha Executável (Anti-ROP) | Bloqueio de execução não autorizada de áreas da pilha. |
Verificação Anti-RET (Anti-ROP) | Verifica se a instrução CALL foi invocada de maneira segura. |
Articulação Anti-Stack (Anti-ROP) | Proteção contra a relocalização do ponteiro de pilha ESP para um endereço executável. |
Monitor de Acesso à Tabela de Endereço de Exportação (Monitor de Acesso EAT e Monitor de Acesso EAT através de Registrador de Depuração) | Proteção de acesso à leitura para a tabela de endereços de exportação para o kernel32.dll, kernelbase.dll e ntdll.dll |
Alocação de heapspray (Heapspray) | Proteção contra a alocação de memória para executar um código malicioso. |
Simulação do Fluxo de Execução (Contra Programação Direcionada por Retorno) | Detecção de cadeias de instruções potencialmente perigosas (possível gadget ROP) no componente de API do Windows. |
Monitor de Chamada de Perfil de Intervalo (Proteção do Driver de Função Auxiliar (AFDP, Ancillary Function Driver Protection)) | Proteção contra o escalamento de privilégios por uma vulnerabilidade no driver AFD (execução de código arbitrário no anel 0 por meio de uma chamada QueryIntervalProfile). |
Redução da Superfície de Ataque (ASR) | Bloqueio da inicialização de suplementos vulneráveis por meio do processo protegido. |
Contra o esvaziamento do processo (Hollowing) | Proteção contra criação e execução de cópias maliciosas de processos confiáveis. |
Contra AtomBombing (APC) | Exploração da tabela de átomo global via Chamadas de Procedimento Assíncrono (APC). |
Contra CreateRemoteThread (RThreadLocal) | Outro processo criou uma thread no processo protegido. |
Contra CreateRemoteThread (RThreadRemote) | O processo protegido criou uma thread em outro processo. |