de-DEen-US
Sprache
Search
× Search
Samstag, 21. Dezember 2024

Sicherstellen das Data Execution Prevention (DEP) aktiviert ist

DepTest ist nützlich um zu testen ob Windows® Data Execution Prevention (DEP) Funktion wirklich aktiviert ist und alle laufenden Prozesse schützt.

 
DepTest ist nützlich um zu testen ob Windows® Data Execution Prevention (DEP) Funktion wirklich aktiviert ist und alle laufenden Prozesse schützt.

Das Tool wurde ursprünglich im Jahre 2002 entwickelt , zur selben Zeit wie BufferShield, um zu beweisen das Microsoft's Software basierte DEP Funktion in Wirklichkeit nur vor einem spezifischen und nur einmal aufgetretenen Exploit schützte, der auf dem Überschreiben des Zeigers des SEH Exception Handler beruhte. Das Microsoft dieses software-basierte Verfahren mit Hardware NX unter dem Namen DEP zusammenfasste, verwirrte Microsoft Kunden global und sorgte für ein falsches Gefühl der Sicherheit. Außerdem zeigte es das Comodo Memory Guard (kurz danach eingestellt) keinen Schutz vor Pufferüberläufen bot, da es einen User-Mode basierten Ansatz verfolgte bei dem Windows API Aufrufe umgeleitet wurden, anstelle eines tiefergreifenden Kernel-Mode basierten Ansatzes. Zunächst behauptete Comodo, das DepTest nur NOP (No operation) Befehle ausführen würde, bis der Shell Code dahingehend angepasst wurde den Call-Gate Mechanismus zu verwenden um direkt die Kernelfunktion NtCreateFile aufzurufen um erfolgreich eine Datei anzulegen (Es gibt noch viele weitere Methoden die keine Windows API Aufrufe benötigen um solch einen Schutz zu umgehen).

Wir supporten und entwickeln BufferShield nicht mehr für neuere Windows Versionen als Windows XP und Server 2003, da neuere Betriebssysteme bereits NX und ASLR Unterstüzung mit sich bringen. Das gleiche gilt für moderne CPUs, die heute zu Tage alle Hardware basiertes NX (oder XD im Falle von AMD) unterstützen so das es keinen Bedarf gibt für eine Portierung auf ein Betriebssystem das ohnehin nicht effizient auf solch alten CPUs läuft.

Wenn bei DepTest ein Fehler auftreten sollte, dann kann folgendes Kommando in einer administrativen Eingabeaufforderung benutzt werden um es entsprechend zu aktivieren. Nach einem Neustart des Systems sollte der Test dann ohne Fehler abschließen:
bcdedit /set nx AlwaysOn

Dieses Kommando sorgt dafür das der Schutz vor Pufferüberläufen nicht nur für das Betriebssystem und entsprechend gekennzeichnete Prozesse, sondern für alle Prozesse und Dienste verwendet wird. Es verhindert auch, das ein Shell-Code, der ASLR umgeht, den NX Schutz deaktiviert (bspw. durch die Return-To-Libc Methode). Sollte es Kompatibilitätsprobleme mit Anwendungen von Drittanbietern geben, sollte versucht werden die Anwendung zu aktualisieren oder den Hersteller zu kontaktieren. Nach 15 Jahren sollte es bekannt sein, das es nicht gut ist Code aus Speicherbereichen heraus auszuführen die nicht entsprechend für Codeausführung gekennzeichnet sind.

Um zur Windows Standardeinstellung zurückzukehren kann folgenden Aufruf in einer administrativen Eingabeaufforderung benutzt werden:
bcdedit /set nx OptIn

Download

Bitte downloaden und verwenden Sie unser frei verfügbares DEPTest Tool um die Sicherheit auf Ihrem Computer hinsichtlich der DEP Funktion zu testen.

Doppelklicken Sie auf die Datei DEPtest.exe um zu sehen, ob Code ausgeführt werden kann, ohne vom DEP Schutz erkannt zu werden.

Jetzt herunterladen

Hinweis: Bitte ignorieren Sie die Fehlermeldung das eine Schutzverletzung in Overflow.Exe aufgetreten ist. Dies ist normal sofern die DEP Funktion einen Pufferüberlauf bzw. eine Code Ausführung in einem als Datenbereich gekennzeichneten Speicherbereich erkannt hat.

NutzungsbedingungenDatenschutzerklärungCopyright © Sys-Manage, 1998-2024. Alle Rechte vorbehalten.
Zurück nach oben