DEP的安全機制
DEP(Data Execution Prevention)即“數據執行保護”,這是Windows的一項安全機制,主要用來防止病毒和其他安全威脅對系統造成破壞。微軟從Windows XP SP2引入瞭該技術,並一直延續到此後的Windows Server 2003、Windows Server 2008中。毫無例外,在Windows 7中DEP也作為一項安全機制被引入進來。本文將對Windows 7下的DEP進行一番解析。
1、DEP的安全機制
可以說,溢出是操作系統(應用軟件)永遠的痛,Windows 7自然也不例外。所謂溢出主要指緩沖區溢出,就是利用系統(應用軟件)漏洞從隻有Windows和其他程序可以使用的內存位置執行惡意代碼從而達到控制系統的目的。如前所述,緩沖區溢出攻擊經常在其它程序的內存緩沖區寫入可執行的惡意代碼,然後誘騙程序執行惡意代碼。使用DEP的目的是阻止惡意插入代碼的執行,其運行機制是,Windows利用DEP標記隻包含數據的內存位置為非可執行(NX),當應用程序試圖從標記為NX的內存位置執行代碼時,Windows的DEP邏輯將阻止應用程序這樣做,從而達到保護系統防止溢出。
2、DEP的實現方式
微軟DEP實現采用瞭兩種方式,即硬件強制DEP和軟件強制DEP。硬件強制DEP,這需要處理器的支持,不過現在大多數處理器是支持DEP的。軟件強制DEP,這是由Windows操作系統在系統內存中為保存的數據對象自動添加的一組特殊指針提供。如何知道自己的處理器是否支持DEP呢?右鍵單擊桌面上的“計算機”圖標,選擇“屬性”,在打開的“系統”窗口中點擊“高級系統設置”鏈接打開“系統屬性”面板。在“高級”選項卡頁面中的“性能”下點擊“設置”打開“性能選項”面板。點擊“數據執行保護”選項卡,在該頁面中我們可確認自己計算機的處理器是否支持DEP。如果支持會在底部的一行顯示“你的計算機處理器支持基於硬件的DEP。”,反之會顯示“你的計算機處理器不支持基於硬件的DEP,不過,Windows能使用DEP軟件防止一些類型的攻擊。”(圖1)
3、DEP的運行級別
在Windows 7中,DEP默認是激活的。不過,DEP不能保護系統中所有運行的應用程序,實際DEP能夠保護的程序列表由DEP的保護級別定義。DEP支持兩種保護級別:級別1,隻保護Windows系統代碼和可執行文件,不保護系統中運行的其它微軟或第三方應用程序;級別2,保護系統中運行的所有可執行代碼,包括Windows系統代碼和微軟或第三方應用程序。默認情況下,Windows 7的DEP運行在級別1的保護狀態下。在“數據執行保護”配置面板中,我們能夠設置DEP的保護級別。如圖所示筆者的Windows 7默認“隻為基本的Windows程序和服務激活瞭DEP”,即DEP保護級別為1。當然,我們也可選擇“除瞭以下所選擇的,為所有程序和服務打開DEP” 切換到DEP保護級別2。
在保護級別Level 2可以選擇特定的應用程序不受DEP保護。在實際應用中,這個功能非常重要,因為一些老的應用程序在激活DEP時無法正常運行。 例如,我我們在使用Word進行文本編輯時,它會自動被排除在DEP保護之外。需要註意的是,在將DEP保護切換到級別2之前,必須運行應用程序兼容性測試,確保所有的應用程序在DEP激活時能正常運行。從DEP中排除應用程序, 需要在DEP配置頁面使用“添加”按鈕,將應用程序的可執行文件加入到排除列表中。(圖2)
除瞭上述方法外,我們還可以通過一個工具排除應用程序的DEP保護。這個工具就是DisableNX,它是微軟應用程序兼容性套件(Microsoft Application Compatibility Toolkit )中的一個工具,該套件的最新版本為5.5,大傢可以訪問微軟官方網站下載獲得,下載地址是:http://www.microsoft.com/downloa … 0-b45e-492dd6da2971。
該工具的使用比較簡單,大傢可根據命令幫助完成排錯操作。
4、查看應用程序是否受到DEP保護
在Windows 7中,我們如何知道應用程序是否受到DEP保護呢?其實,通過任務管理器我們可以查看到我們想要知道的信息。不過,默認情況下Windows 7的任務管理器並不顯示應用程序的DEP列,需要手動操作將其調出來。在任務欄上單擊鼠標右鍵選擇“啟動任務管理器”,在Windows 任務管理器窗口中單擊“查看”菜單選擇“選擇列”,然後從選擇進程頁列中找到並勾選“數據執行保護”項即可。這樣就會在任務管理器中添加“數據執行保護”列,在其下面我們可以看到進程的DEP狀態(啟用或者停用)。筆者的Windows 7系統選擇的是級別1,可以看到所有的系統進程進程都是啟用瞭DEP保護,而非系統進程比如“WinRar”則DEP狀態為“停用”。不過,筆者這裡要說明一下:雖然有些非系統的應用程序,但其DEP狀態為“啟用”(比如筆者系統中運行的“Windows 7優化大師”),這是因為這些應用程序在安裝過程中會創建並註冊成系統服務,所以在Windows看來它也是系統進程,當然也就會執行DEP保護。(圖3)
5、如何關閉DEP保護
需要提醒的是,當DEP運行在保護級別為2時,由於需要在處理器和系統內存運行所有的DEP檢查,會影響系統性能,使得系統運行將會變慢一些,所以在某些情況下我們可以考慮完全關閉DEP保護。我們知道在DEP設置面板中是不提供關閉DEP選項的,那如何關閉呢?如果是Vista以前的系統,我們可以通過修改Boot.ini文件,在其中添加NoExecute=Always0ff語句來關閉。而在Windows Vista、Windows Server 2008和Windows 7中,boot.ini文件已經被啟動配置數據(Boot Configuration Data)即BCD文件所代替,不過我們可以使用微軟提供的命令行工具bcdedit.exe來編輯BCD文件。
我們在命令提示符下運行不帶有任何參數的bcedit命令,可以看到當前的啟動配置,如圖所示顯示瞭在Windows 7下運行bcdedit的結果,其中最後一行顯示nx OptIn,表示當前的DEP保護級別為1,如果顯示為OptOut則表示當前的EDP保護級別為2。如果我們要關閉DEP,隻需將nx設置為Always0ff即可。在命令行下執行命令“bcdedit /set nx alwaysoff”,重啟系統後Windows 7的DEP就關閉瞭。反之,如果要開啟所有服務和應用程序的DEP,執行命令“bcdedit /set nx alwayson”就可以瞭。(圖4)
總結:其實DEP並不是醫治Windows系統緩沖區溢出問題的萬能解藥,它的意義在於使得惡意軟件難以利用緩沖區溢出。而且DEP提供的緩沖區溢出保護也有一定的副作用,就是是被DEP阻止的應用程序通常將被掛起,即使DEP停止瞭惡意程序執行惡意代碼,但是這種情況為惡意程序啟動DOS攻擊創造瞭新的機會。最後說明一點,本文有關DEP的解析雖然以Windows 7為例,但大部分也適用於Windows Vista和Windows Server 2008。希望本文對於大傢認識DEP和理解Windows的安全機制有所幫助。
《榮譽勛章》遊俠專題站:http://android.game2.tw /zt/moh/
《榮譽勛章》遊俠專區:http://game.ali213.net/forum-276-1.html