微軟OS升級包新增安全API 使用者可控DEP

微軟日前向Windows Vista 和 XP作業系統的最新升級包增加與安全相關的API工具，從而進一步擴大其數字執行保護技術(DEP)的應用，這是微軟的一項主要反木馬技術。

　　據國外媒體報導，微軟安全工程與通訊集團的一位首席專案經理邁克·霍華德表示，最新的API(公共程式介面)將包含在Vista SP1和Windows XP SP3升級版、以及將於本季充推出的全新作業系統Windows 2008中。

　　霍華德是微軟目前在任的最傑出的安全專家之一，他曾是“Writing Secure Code”的聯合作者之一。霍華德表示，新款API應用之後，更多的開發者、特別是那些仍在使用舊版ATL (Active Template Library)的開發者在其應用中使用DEP技術。

　　DEP又一個名稱是NX(No eXecute的縮寫)，最初由微軟在Windows XP SP2升級包中推出，後來擴充套件到Vista和Server 2008。該技術的主要目的是阻止那些只包含資料的程式碼在記憶體中執行，從而阻止程式碼的惡意利用和緩衝區外溢攻擊等。使用舊版ATL的開發者可使用API工具在執行時間內，或在應用程式啟動時執行DEP。在此之前，程式設計師必須提前做出決定，是否允許其軟體執行DEP進行自我保護。

　　霍華德表示，新款API中最重要的是“SetProcessDEPPolicy”，該工具用於設定執行程式的DEP規則。霍華德表示：“假如上載一個。dll檔案時沒有啟動DEP，那麼它就不會正常工作。新款API最關鍵之處在於，你可以在配置中進行設定，將DEP設定為預設啟動項，這樣所有的。dll檔案都會自動得到保護。”新款API使得程式在執行時自動獲得DEP支援，為開發者和使用者提供了更多大靈活性。基於。dlls的應用程式可能無法與DEP相容，或許是因為這些程式是為企業應用定製的，這些程式會不管對錯，使用資料記憶體區來執行程式碼，因此可能會超出反攻擊保護的範圍。

　　霍華德表示：“新工具現在可以使所有的應用程式都得到保護，即便開發者使用的是舊版ATL。DEP是非常好的防護工具，因此我們希望開發者使用起來更方便。”

　　新款API還允許程式設計師將DEP的控制權交給使用者，霍華德表示，“假如你支援DEP，但希望使用者在遇到嚴重的相容問題時也可以關閉DEP，那麼這正好是你想要的API，因為這一切都可以在配置中進行設定。”

　　新款API的推出時間不是什麼祕密，霍華德表示，“我們將其新增到最新的升級包中，是因為它本身非常重要。”微軟本季度內推遲了Vista SP1的釋出日期，但業界猜測可能於近幾周內釋出。Windows XP SP3升級包預計在今年前半年釋出，Windows Server 2008的釋出時間定在本月底。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/12639172/viewspace-442866/，如需轉載，請註明出處，否則將追究法律責任。