XP的DEP防毒技術揭秘(轉)
XP的DEP防毒技術揭秘(轉)[@more@]眾所周知,Windows XP SP2中增加了一項安全新功能??DEP(Date Execution Prevention資料執行保護),可以保護計算機免受病毒的破壞。為了配合微軟的DEP技術,Intel和AMD都開發了相應的防病毒CPU。
DEP的防病毒原理
如果你的系統升級到了SP2,啟用SP2的DEP功能即可防範病毒破壞,這是因為DEP能夠對各種程式進行監視,阻止病毒在受保護的記憶體位 置執行有害程式碼。DEP透過處理器的NX(No eXecute)功能,查詢記憶體中沒有明確包含可執行程式碼的資料(這些資料有時會是病毒的原始碼),找到這些資料後,NX將它們都標記為“不可執 行”。以後如果某程式在記憶體中,試圖執行這些帶“不可執行”標記的程式碼,SP2將會自動關閉該程式。因此,假如你執行了一個已經染毒的軟 件,DEP就會把病毒程式碼標記為“不可執行”,這樣就能阻止病毒在記憶體中執行,保護電腦中的檔案免受蠕蟲、病毒的傳染破壞。
如果你想充分發揮DEP的保護功能,除了要把系統升級到SP2之外,你的CPU還必須支援DEP技術。目前常見的32位處理器(例如P4 Northwood等)並不支援NX,支援該技術的CPU主要有AMD的64位處理器(Athlon 64、AMD Opteron),以及Intel的安騰系列CPU、J系列的P4 Prescott,據說nVIDIA、VIA、全美達等公司也計劃在其晶片中加入NX技術,不過這些廠商更新NX的步伐過於緩慢,正式推出還有待時日。
啟用或禁用DEP的方法
預設情況下,SP2僅對基本 Windows 程式和服務啟用了DEP。不過你也可以自己設定,讓電腦上的所有程式都啟用DEP,以便防範病毒。
例如除了Acrobat Reader5.0之外,要讓所有的程式和服務都啟用DEP,操作方法是:以管理員許可權賬戶登入SP2,然後單擊“開始→設定→控制皮膚”,雙擊“系 統”,單擊“高階”選項卡,單擊“效能”下的“設定”,單擊“資料執行保護”選項卡,選中“為除下列程式之外的所有程式和服務啟用 DEP”(如圖),單擊“新增”,導航到“Program Files”資料夾,選擇該程式(Acrobat Reader 5.0)的可執行檔案(副檔名為.exe),最後單擊“確定”完成。
如果你要為某程式(例如Acrobat Reader 5.0)禁用DEP,可以單擊以上的“新增”按鈕,把它加到列表中即可。以後該程式就很容易受到攻擊,病毒能夠潛入該程式中,然後再傳染給電 腦上的其他程式及Outlook中的聯絡人,並且破壞你的個人檔案。如果有的程式啟用 DEP 後無法正常執行,你可以向軟體廠商索取相容DEP的程式版本,如果沒有這樣的版本則禁用DEP。
為了支援DEP,P4 Prescott採用了EDB 技術
為了配合微軟的DEP功能,Intel為自己的CPU開發了“Execute Disable Bit”(EDB)記憶體保護技術。目前Intel P4 Prescott(mPGA478與LGA775封裝)為C0或D0步進核心,最新的J系列P4 Prescott採用E0步進核心。其中只有J系列P4 Prescott具備防病毒功能,只有它才真正支援EDB技術,能夠配合SP2的DEP防毒功能,讓針對緩衝區溢位(buffer overrun)漏洞設計的病毒失效,預防它們複製並散播到其他系統。
如果你使用了P4 Prescott/Celeron D(C0步進核心)的處理器,升級到SP2之後,就會發現Windows XP作業系統死鎖在啟動畫面,但換上P4 Northwood卻不會出現這個問題。這是因為SP2能夠開啟P4 Prescott (C0步進核心)內含的EDB 功能,但是這種型號的CPU並沒有EDB的執行能力,其內部EDB部分的電晶體不會加電運作,因此會導致系統死鎖。
為了解決這個問題,微軟已在9月14日釋出了相關修正檔案,大家可以到微軟的官方網站去下載。
為了支援DEP,AMD的64位CPU使用EVP技術
AMD 64位處理器最先支援微軟的DEP技術。為了配合DEP,AMD與微軟一起設計研發了AMD的新晶片功能“Enhanced Virus Protection”(EVP增強病毒保護)。AMD 64位處理器(包括Athlon 64/Athlon 64 FX/Athlon 64移動版本/Sempron移動版本等)都將具有EVP功能。EVP功能可以和SP2的DEP技術配合,防範“快取溢位”這一常見攻擊手段,打擊一些病毒和 蠕蟲,對收發電子郵件、下載檔案等日常工作進行更好的保護。
不過在AMD 64位處理器的機器上安裝SP2之後,只要你的電腦啟動了DEP功能、並且配置了要求名為Mpegport.sys驅動程式檔案的硬體裝置,當你使用Sigma 設計公司的Realmagic Hollywood Plus DVD解碼軟體時,就會與DEP發生衝突。這是因為比較老的驅動程式會進行一些與病毒類似的操作,於是SP2就誤認它為病毒,從而啟動DEP,導 致電腦反覆地重新啟動。為了解決這個問題,微軟建議使用者更新這個較老的驅動程式,或者為這個解碼軟體禁用DEP,關掉SP2的病毒防護功能
DEP的防病毒原理
如果你的系統升級到了SP2,啟用SP2的DEP功能即可防範病毒破壞,這是因為DEP能夠對各種程式進行監視,阻止病毒在受保護的記憶體位 置執行有害程式碼。DEP透過處理器的NX(No eXecute)功能,查詢記憶體中沒有明確包含可執行程式碼的資料(這些資料有時會是病毒的原始碼),找到這些資料後,NX將它們都標記為“不可執 行”。以後如果某程式在記憶體中,試圖執行這些帶“不可執行”標記的程式碼,SP2將會自動關閉該程式。因此,假如你執行了一個已經染毒的軟 件,DEP就會把病毒程式碼標記為“不可執行”,這樣就能阻止病毒在記憶體中執行,保護電腦中的檔案免受蠕蟲、病毒的傳染破壞。
如果你想充分發揮DEP的保護功能,除了要把系統升級到SP2之外,你的CPU還必須支援DEP技術。目前常見的32位處理器(例如P4 Northwood等)並不支援NX,支援該技術的CPU主要有AMD的64位處理器(Athlon 64、AMD Opteron),以及Intel的安騰系列CPU、J系列的P4 Prescott,據說nVIDIA、VIA、全美達等公司也計劃在其晶片中加入NX技術,不過這些廠商更新NX的步伐過於緩慢,正式推出還有待時日。
啟用或禁用DEP的方法
預設情況下,SP2僅對基本 Windows 程式和服務啟用了DEP。不過你也可以自己設定,讓電腦上的所有程式都啟用DEP,以便防範病毒。
例如除了Acrobat Reader5.0之外,要讓所有的程式和服務都啟用DEP,操作方法是:以管理員許可權賬戶登入SP2,然後單擊“開始→設定→控制皮膚”,雙擊“系 統”,單擊“高階”選項卡,單擊“效能”下的“設定”,單擊“資料執行保護”選項卡,選中“為除下列程式之外的所有程式和服務啟用 DEP”(如圖),單擊“新增”,導航到“Program Files”資料夾,選擇該程式(Acrobat Reader 5.0)的可執行檔案(副檔名為.exe),最後單擊“確定”完成。
如果你要為某程式(例如Acrobat Reader 5.0)禁用DEP,可以單擊以上的“新增”按鈕,把它加到列表中即可。以後該程式就很容易受到攻擊,病毒能夠潛入該程式中,然後再傳染給電 腦上的其他程式及Outlook中的聯絡人,並且破壞你的個人檔案。如果有的程式啟用 DEP 後無法正常執行,你可以向軟體廠商索取相容DEP的程式版本,如果沒有這樣的版本則禁用DEP。
為了支援DEP,P4 Prescott採用了EDB 技術
為了配合微軟的DEP功能,Intel為自己的CPU開發了“Execute Disable Bit”(EDB)記憶體保護技術。目前Intel P4 Prescott(mPGA478與LGA775封裝)為C0或D0步進核心,最新的J系列P4 Prescott採用E0步進核心。其中只有J系列P4 Prescott具備防病毒功能,只有它才真正支援EDB技術,能夠配合SP2的DEP防毒功能,讓針對緩衝區溢位(buffer overrun)漏洞設計的病毒失效,預防它們複製並散播到其他系統。
如果你使用了P4 Prescott/Celeron D(C0步進核心)的處理器,升級到SP2之後,就會發現Windows XP作業系統死鎖在啟動畫面,但換上P4 Northwood卻不會出現這個問題。這是因為SP2能夠開啟P4 Prescott (C0步進核心)內含的EDB 功能,但是這種型號的CPU並沒有EDB的執行能力,其內部EDB部分的電晶體不會加電運作,因此會導致系統死鎖。
為了解決這個問題,微軟已在9月14日釋出了相關修正檔案,大家可以到微軟的官方網站去下載。
為了支援DEP,AMD的64位CPU使用EVP技術
AMD 64位處理器最先支援微軟的DEP技術。為了配合DEP,AMD與微軟一起設計研發了AMD的新晶片功能“Enhanced Virus Protection”(EVP增強病毒保護)。AMD 64位處理器(包括Athlon 64/Athlon 64 FX/Athlon 64移動版本/Sempron移動版本等)都將具有EVP功能。EVP功能可以和SP2的DEP技術配合,防範“快取溢位”這一常見攻擊手段,打擊一些病毒和 蠕蟲,對收發電子郵件、下載檔案等日常工作進行更好的保護。
不過在AMD 64位處理器的機器上安裝SP2之後,只要你的電腦啟動了DEP功能、並且配置了要求名為Mpegport.sys驅動程式檔案的硬體裝置,當你使用Sigma 設計公司的Realmagic Hollywood Plus DVD解碼軟體時,就會與DEP發生衝突。這是因為比較老的驅動程式會進行一些與病毒類似的操作,於是SP2就誤認它為病毒,從而啟動DEP,導 致電腦反覆地重新啟動。為了解決這個問題,微軟建議使用者更新這個較老的驅動程式,或者為這個解碼軟體禁用DEP,關掉SP2的病毒防護功能
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-950015/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- DEP緩解技術
- DEP緩解技術(一)
- Vue 3 技術揭秘Vue
- 微信如何直接跳轉外部瀏覽器技術揭秘瀏覽器
- 域名怎樣跳轉防封 微信域名跳轉防封技術揭秘
- 微信域名檢測、防封,微信跳轉技術揭秘(二)
- 微信域名檢測、防封,微信跳轉技術揭秘(一)
- 揭秘35歲技術人去向:是高薪管理,還是無奈轉行?高薪
- 玩轉雲端 | 天翼雲物件儲存ZOS高可用的關鍵技術揭秘物件
- MaxCompute執行引擎核心技術DAG揭秘
- 技術揭秘:宏病毒程式碼三大隱身術
- DES演算法揭秘:資料加密的前沿技術演算法加密
- OpenAI Sora 關鍵技術詳解:揭秘時空碎片 (Spacetime Patches) 技術OpenAISora
- 技術揭秘:yargs-parser漏洞背後的修復之道
- 滴滴全民拼車日背後的運維技術揭秘運維
- 技術沙龍|京東雲端到端多媒體關鍵技術揭秘
- 微信「看一看」 推薦排序技術揭秘排序
- 微服務治理熱門技術揭秘:無損上線微服務
- Oracle的全文檢索技術(轉)Oracle
- KDD2020 | 揭秘Facebook搜尋中的語義檢索技術
- OCR技術大揭秘:紙質文件數字化的新選擇
- 重要揭秘!LAZARUS組織最新活動中的新型攻擊技術
- 卡巴斯基創始人:雲端計算無法替代原有防毒技術防毒
- 技術解讀 | 揭秘SD-WAN的智慧選路是如何實現的?
- 億級流量高併發春晚互動前端技術揭秘前端
- 微信收款機具在慢速網路中快速收款的技術揭秘
- 優秀技術人的管理陷阱(轉)
- 技術乾貨 | 阿里雲資料庫PostgreSQL 13大版本揭秘阿里資料庫SQL
- 技術揭秘:勒索蘋果代工廠5000萬美元的REvil有什麼不同?蘋果
- 客戶端跳轉技術,服務端跳轉技術,兩種跳轉的各自使用場合和特點客戶端服務端
- IPv6轉換技術是什麼?淺談IPv6轉換的兩種技術方式
- 遙感技術在環境監測中的應用:揭秘地球變化的天眼
- 從技術角度揭秘騙術:資料庫如何防止5G時代的電信詐騙資料庫
- 揭秘全球首次網際網路8K直播背後的技術實現
- 跬步至千里:揭秘谷歌AutoML背後的漸進式搜尋技術谷歌TOML
- ZIP 也能邊下載邊解壓?流式解壓技術揭秘!
- 送外賣也要“黑科技”?阿里移動感知技術應用揭秘阿里
- 影片操縱中的新AI技術轉向AI
- 安居客 QA 的技術轉型之路 - 卞偉