Data Execution Prevention – Microsoft Windows
爆显存的原理
爆显存的原理爆显存(Framebuffer Overflow)是一种计算机系统中的安全漏洞,通常发生在操作系统或应用程序在使用图形显示(Graphic Display)时。
当程序在绘制到显示器的窗口时,会将图像数据存储在显示缓冲区(Framebuffer)中。
然而,如果程序未能正确验证输入数据的大小,那么攻击者就可以通过发送超出缓冲区大小的数据来覆盖其他内存区域,从而导致系统漏洞和信息泄露。
爆显存的原理可以分为以下几个方面:1. 输入验证不足:爆显存的原因之一是应用程序或操作系统在输入验证方面存在漏洞。
攻击者可以发送超过缓冲区大小的数据,导致数据溢出并覆盖其他存储区域。
通常情况下,缓冲区溢出会覆盖相邻的内存区域,其中包括函数返回地址和其他重要数据。
2. 覆盖重要数据:一旦攻击者成功地覆盖了重要的内存区域,例如函数返回地址,他们就可以通过改变返回地址的值来控制程序的流程。
这就是所谓的"堆栈溢出",攻击者可以通过更改返回地址为自己特定的指令,来实现对程序的远程代码执行和控制。
3. 执行任意代码:通过覆盖重要数据并改变返回地址,攻击者可以将控制转移到自己注入的恶意代码上。
他们可以从指定位置开始执行指令,例如注入任意代码来获取系统权限或访问机密数据。
对于爆显存漏洞的利用,攻击者通常需要知道目标系统的具体内存布局、函数返回地址等信息。
为了利用这些漏洞,攻击者还需要仔细计算缓冲区长度和特定输入的填充方式,以覆盖重要数据并引起目标程序的崩溃和漏洞利用。
为了解决和缓解爆显存漏洞,可以采取以下措施:1. 输入验证:应用程序和操作系统应该严格验证输入数据的大小,并确保不会导致缓冲区溢出。
最好使用安全的输入检查和过滤机制,以防止攻击者发送恶意代码或溢出数据。
2. 内存边界检查:程序应该实施严格的内存边界检查,确保在写入数据时不会越过缓冲区边界。
这可以通过使用编译器和代码审查工具来实现。
3. 栈保护技术:使用堆栈保护技术,如栈溢出保护(Stack Overflow Protection)和数据执行防护(Data Execution Prevention),可以有效地防止爆显存漏洞的利用。
UAC和DEP的认识
什么是DEP?DEP –数据执行保护的缩写,Data Execution Prevention。
数据执行保护(DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。
在Microsoft Windows XP Service Pack 2、Microsoft Windows Server 2003 Service Pack 1 、Microsoft Windows XP Tablet PC Edition 2005 、Microsoft Windows Vista 和Microsoft windows7 中,由硬件和软件一起强制实施DEP。
如何关闭DEP?我们在命令提示符下运行不带有任何参数的bcedit命令,可以看到当前的启动配置,如图所示显示了在Windows 7下运行bcdedit的结果,其中最后一行显示nx OptIn,表示当前的DEP 保护级别为1,如果显示为OptOut则表示当前的EDP保护级别为2。
如果我们要关闭DEP,只需将nx设置为Always0ff即可。
在命令行下执行命令“bcdedit /set nx alwaysoff”,重启系统后Windows 7的DEP就关闭了。
反之,如果要开启所有服务和应用程序的DEP,执行命令“bcdedit /set nx alwayson”就可以了什么是UAC?UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。
通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。
如何关闭UAC?XP:控制面板→用户帐户→打开或关闭用户账户控制→取消使用用户账户控制(UAC)帮助保护您的计算机WIN7:开始――控制面板――用户帐户――更改用户帐户控制设置。
用于直接打开小程序的windows11控制面板命令
用于直接打开小程序的windows11控制面板命令用于直接打开小程序的windows11控制面板命令下面是Windows11控制面板命令的列表,可以直接打开小程序。
可以在“运行”对话框中键入这些命令,也可以为此类命令创建快捷方式。
快捷方式允许您更快地打开“控制面板”项目,或将固定到“开始”或“任务栏”。
这个经典控制面板在Windows 11中起次要作用。
其大多数选项已在现代设置应用程序中可用。
通过继续这一改变,微软已经删除了大部分到旧版applet的链接,这使得普通用户很难发现它们。
这就是Windows11控制面板命令发挥作用的地方。
通过使用它们,您可以直接访问大多数遗留小程序。
例如,如果您键入appwiz.cpl在“运行”对话框中,您将看到经典卸载程序对话下面是Windows11中可用的经典控制面板命令的列表。
Windows 11控制面板命令♦直接打开控制面板小程序1. win+R在键盘上打开跑对话2. 从上表中键入或复制粘贴命令,例如,OptionalFeatures.exe .3. 按Enter进入执行它的键。
这将立即打开小程序;在我们的情况下Windows功能对话此外,您还可以使用上面的Windows11控制面板命令,通过几次单击为任何小程序或工具创建快捷方式。
以这种方式创建的快捷方式可以很容易地固定到「开始」菜单或任务栏上。
♦创建控制面板小程序的快捷方式1.右键单击桌面上的空白区域。
2. 从上下文菜单中选择“新建项目”>“快捷方式”。
3. 从上表中为要创建快捷方式的项键入或复制粘贴命令。
例如,control appwiz.cpl .4. 命名快捷方式以反映它的功能,例如“卸载程序”。
5.如有必要,自定义快捷图标。
最后,需要注意的是,有一种更简单的方法可以为任何控制面板小程序创建快捷方式。
只要打开它,把它的图标从控制面板的地址栏拖放到桌面上。
这将立即创建一个小程序快捷方式。
但是,如果你试图锁定任务栏,它将锁定控制面板本身,而不是单个小程序。
WINDOW2008R2、WINDOW2012系统出现Comsurrogate错误
5. 完成这个配置Wizard,选择Activate the rule now, 点击Finish;
二、之前有部分客户通过以下方式后问题解决,但是有少部分客户反馈问题还是未解决:
1、更新微软SP包和最新补丁,并安装以下两个补丁:Windows6.1-KB2401588-x64、Windows6.1-KB2815853-x64;
2、更新完成后关闭微软自动更新;
三、如果以上方式处理后还是无法解决请参考以下方式,把对应的错误日志%system%\Program Files\DebugDiag\Logs\拷贝出来,发给到aifa_lin@:
WINDOW2008R2、WINDOW2012系统出现Comsurrogate错误
一、 将Dllhost.exe排除出DEP(数据执行保护)Start -> Control Panel -> System -> Advanced -> Settings (Performance) -> Data Execution Prevention:如果是64位系统,选择c:\windows\s如果机器是启用硬件DEP的话,不能排除64位程序的。除非机器整体停用硬件DEP。因为我们的程序还是32位,目前不考虑这个操作。
1. 安装Debug Diag 1.2, 如果是64位机器就安装64位版的:/en-us/download/details.aspx?id=26798
2. 打开DebugDiag,选择Crash Rule, 点击Next
3. 选择A Specific Process, 点击 Next
rop防范技术
rop防范技术ROP防范技术是一种针对计算机系统中的栈溢出攻击进行防御的技术。
ROP(Return Oriented Programming)攻击是一种利用程序中已有的代码片段来构造恶意代码执行的攻击方式。
由于ROP攻击不需要注入任何新的代码,因此很难被传统的安全防护措施所检测和拦截。
为了有效地防范ROP攻击,研究人员提出了多种技术手段。
其中比较常见的包括:1. ASLR(Address Space Layout Randomization)技术:该技术在程序运行时随机化程序内存布局,使得攻击者无法准确地预测目标代码在内存中的位置,从而增加了攻击难度。
2. DEP(Data Execution Prevention)技术:该技术通过将内存中的数据区域标记为不可执行,从而防止恶意代码在数据区域中运行。
3. Stack Canary技术:该技术在栈帧中插入一个特殊值,当程序执行到函数返回时会检查这个特殊值是否被篡改。
如果被篡改,则说明发生了栈溢出攻击。
4. Control Flow Integrity(CFI)技术:该技术通过在编译期间插入额外的检查代码来保证程序的控制流程不被篡改。
5. Shadow Stack技术:该技术在程序运行时维护一个额外的栈,用于保存函数返回地址。
当函数返回时,会从shadow stack中取出返回地址进行验证,从而防止ROP攻击。
以上这些技术各有优缺点,在实际应用中需要根据具体情况选择合适的防范手段。
同时,由于ROP攻击方式的变化和演进,研究人员也在不断地提出新的防范技术,以应对新的安全威胁。
总之,ROP攻击是一种非常危险的安全威胁,对于计算机系统的安全性构成了严重威胁。
因此,研究人员和安全从业者需要密切关注ROP 攻击的发展趋势,并采取有效措施加强系统防护。
CPU主流技术和指令集
CPU 主流技术及指令集引文:CPU有哪些主流技术?实际使用中对性能有怎样的影响?Intel官网对I5-2400S spec网址:/pr oducts/52208/Intel-Core-i5-2400S-Processor-(6M-Cache-2_50-GHz)1. CPU主流技术1.1.I ntel EISTSpeedStep技术,使CPU频率能在高、低两个确定的频率间切换,而且这种切换不是即时调整的,通常设置为当用电池时降为低频,而在用交流电源时恢复到高频(全速)。
由于降为低频的同时也会降低电压和功耗,一方面CPU本身耗电量减少,另一方面发热量也会减少,这样还能缩减甚至完全避免使用风扇散热,进一步的节约了用电,因此能延长电池的使用时间;另一方面在用交流电的时候又能恢复为全速工作以获得最高性能。
EIST—Enhanced Intel Speed Step Technology(增强型Intel SpeedStep技术),与早期的SpeedStep 技术不同的是,增强型SpeedStep 技术可以动态调整CPU 频率,当CPU使用率低下或接近零的时候动态降低CPU的倍率,令其工作频率下降,从而降低电压、功耗以及发热;而一旦监测到CPU使用率很高的时候,立即恢复到原始的速率工作。
AMD的CPU有类似效果的技术,称作Power Now!(移动平台)或者Cool'n'Quiet (桌面平台)。
测试过程中若是关闭了EIST, 可用tool监测到CPU的频率会固定在标准频率,相反打开则频率会根据工作任务动态的调整频率。
1.2.I ntel Tubor boost智能加速技术又称睿频加速技术,Turbo Boost为新一代能效管理方案,与EIST的降低主频以达到控制能耗的想法不同,Turbo Boost的主旨在于——在不超过总TDP (Thermal Design Power) 的前提下,尽量挖掘CPU的性能潜力。
微软Hyper-V虚拟化概述和安全指南说明书
WMI Provider
VM Service
VM Worker Processes
Guest Partitions
Guest Applications
Ring 3: User Mode
Provided by:
Windows Hyper-V ISV
Server Core
Virtualization
Windows Kernel
{ Guest OS
SAP
Dept File / Print
VM Host
Guest VMs can not see/detect threats in the VM host due to the virtualizing behavior of the host.
This attack approach is similar, yet much more insidious, than the approach rootkits take to hide their presence.
Requires hardware assisted virtualization
AMD AMD-V Intel VT
Data Execution Prevention (DEP) should be enabled
Hyper-V Architecture
Root Partition
Virtualization Stack
Hosted virtualization Hypervisor virtualization
Virtual Machine Monitor Arrangements
Hosted Virtualization
Guest 1 Guest 2
ThinkPadX200BIOS使用说明[整理]
![ThinkPadX200BIOS使用说明[整理]](https://img.taocdn.com/s3/m/b368fb295627a5e9856a561252d380eb6294236a.png)
ThinkPad X200 BIOS 使用说明BIOS与CMOS的区别:BIOS是软件,用于设置和控制计算机最底层的、最直接的硬件;CMOS是硬件,用于存储由BIOS设置和控制的参数。
我们平时所讲的BIOS设置与CMOS设置意思相同,只是这一工作由BIOS (设置)与CMOS(存储)共同合作完成。
开机,按F1进ThinkPad X200 BIOS。
1:Config 主板设置2: Date/Time 时间和日期设置3:Security 安全设置4:Startup 启动选项5:Restart 退出设置6:HDD dignostic program 硬盘诊断项BIOS Version BIOS版本BIOS Date BIOS日期Embedded Controller Version BIOS辅助升级的版本(与BIOS的版本对应) System-unit serial number 主机系列号System board serial number 主板系列号CPU Type CPU型号CPU Speed CPU主频Installed memory 已安装的内存大小UUID 全球通用唯一识别码MAC Address (Internal LAN) 网卡的MAC地址一 . 配置 Configwork 网络设置2.Serial port 串行接口设置3.Parallet port 并行接口设置4.PCI 外设组件设置B USB设置6.Keyboard/Mouse 键盘鼠标设置7.Display 显示设置8.Power 电源设置9.Beep and Alarm 响铃和警报设置10.Memory 内存设置11.Serial ATA(SATA) 硬盘模式设置12.CPU CPU设置13.Intel(R) AMT 英特尔主动管理技术设置14.Docking Station 扩展坞设置1 . NetworkWake on LAN 远程启动 (设置为Enabled时允许远程启动计算机,设置为Disabled时禁止远程启动计算机.注:硬盘密码设置时无效)Flash Over LAN 远程更新BIOS版本 (设置为Enabled时允许远程更新BIOS版本,设置为Disabled时禁止远程更新BIOS版本)Ethernet LAN Option ROM 从集成网络设备启动(以太网卡的一个功能,无盘网络中用到)Hard drive Direct Memory Access(DMA) 磁盘高速缓存(建议设置为Enabled,提高磁盘利用率)Wireless LAN and WinMAX Radios 无线网卡(设置on时开启,设置为off时关闭)2 . Serial portSerial Port 串行接口 (设置为Enabled时笔记本可以识别用户串口设备,反之亦然,建议设置为Disabled,提高启动速度)3 . Parallet portParalled port 并行接口Mode {Bi-direetional(双向),Output only(只输出),ECP(扩展功能端口)} Base I/O address 输入输出基址(所有输入输出设备映射在计算机中的物理地址) Interrupt 中断4 . PCIINIA~H PCI IRQ 中断请求(这里默认设置就可以了)5 . USBUSB BIOS Support USB在BIOS中的支持项[设置为Disabled后无法从USB设备(例:带USB接口的U盘,移动硬盘,光驱)启动]Always On USB 持续USB供电 (接交流电源时待机休眠状态时为USB充电)6 . Keyboard/MouseTrackPoint 小红点控制项 (设置为Disabled后禁用键盘上小红点)Touch Pad 触摸板控制项 (设置为Disabled后禁用触摸板)Fn Key Lock Fn控制项 (设置为Disabled后Fn功能键禁用)ThinkPad Numlock 数字键锁定项 {Independent(笔记本键盘独立,无视外接键盘上的 NumLock 状态),synchronized(同步,启用ThinkPad 计算机上的NumLock,外接键盘上的NumLock 也同样启用)}7 . DisplayDefault Primary Video Device 默认第一影像设备 {PCI Express(独立显卡),Internal(集成显卡)}Boot Display Device 开机显示设备 {ThinkPad LCD(LCD显示器),Analog(VGA)模拟显示,Digital(DVI)数字显示}Graphics Device 图形设备{Discrete Graphics(离散图形),Integrated Graphics(综合图形),Switchable Graphics(切换图形,离散综合同时显示)}OS Detection for Switchable Graphics图形切换检测8 . PowerTimer Wake with Battery Operation设定定时唤醒计算机Intel(R) Speedstep technology选择Intel(R) Speedstep技术在运行时的方式Mode for AC使用交流模式{Automatic自动,Maximum Perfomance最高性能,Battery Optimized电池优化,Maximum Battery最大限度延长电池使用时间}Mode for Battery使用电池模式{Automatic自动,Maximum Perfomance最高性能,Battery Optimized电池优化,Maximum Battery最大限度延长电池使用时间}Adaptive Thermal Management热量管理方案选择Scheme for AC使用交流时方案 {Maximize Performance最大限度提高性能,Balanced均衡}Scheme for Battery使用电池时方案{Maximize Performance最大限度提高性能,Balanced均衡}CDROM Speed设置 CDROM 速度 {Normal一般,High高速,Silent安静}CPU power management在无系统活动时自动停止处理器时钟 {Automatic自动,Disable禁用}PCI Bus Power Management在无系统活动时自动停止 PCI 总线时钟 {Automatic 自动,Disable禁用}9 . Beep and AlarmPower Control Beep电源控制声音Low Battery Alarm电量不足警报Password Beep密码提示音Keyboard Beep键盘提示音10 . MemoryExtended Memory Test扩展内存测试(设置为Enable时开机检测是否有新增内存条,将减慢开机速度)11 . Serial ATA(SATA)SATA Controller Mode Option SATA 控制器模态选项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
症状
在 Microsoft Windows XP Service Pack 2 (S P2) 或 Windows XP Tablet PC Edition 2005 中运行某个程序时,可能收到类似以下内容的错误信息:
Data Execu tion Prevention – Microsoft Windows
To help protect your compu ter, Windows has closed this program.
Name:program name
Publisher:prog ram publisher
Data Execu tion Prevention helps protect against damage from viruses or other threats.Some programs mig ht not run correctly wh en it is turned on.For an u pdated version of this program, contact the publisher.What else should I d o?
如果单击“关闭消息”,该程序则退出,同时出现一个“Windows错误报告”提示,要求您选择是否发送错误报告。
原因
发生此问题的原因是:为了防止病毒或其他安全威胁造成损害,Wind ows XP SP2 使用了数据执行保护 (DEP) 功能。
DEP 既可以单独工作,也可以和兼容的微处理器一起将某些内存位置标记为“不可执行”。
如果某个程序试图从受保护的位置运行代码,则不管该代码是否有恶意,DEP 都将关闭该程序并通知您。
解决方案
要避免此问题,请与程序的供应商联系,了解他们是否提供能让该程序与 DEP 功能一起正常工作的更新。
替代方法
如果您的计算机被设置为将 DEP 应用于所有程序和服务,则 DEP 错误信息中将包含一个“更改设置”按钮。
如果没有该程序的更新,可执行下列步骤,从 DEP 错误信息中将该程序作为例外来添加:1. 收到“症状”一节提到的该错误信息时,单击“更改设置”按钮。
2. 单击以选中该程序旁的复选框,然后单击“应用”。
3. 当提示您重新启动系统时,单击“确定”两次,然后重新启动系统。
也可以使用“控制面板”中的“系统属性”,将该程序作为例外来添加。
为此,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 sysd m.cpl,然后单击“确定”。
2. 单击“高级”选项卡,单击“性能”下的“设置”。
3. 在“性能选项”中,单击“数据执行保护”选项卡,然后单击“添加”。
4. 在“打开”对话框中,找到并单击该程序。
5. 单击“打开”,单击“应用”,然后单击“确定”。
当提示您重新启动系统时,单击“确定”。
状态
这种现象是设计导致的。
更多信息
如果您的计算机被配置为只对基本的 Windows 程序和服务启用 DEP,则 DEP 错误信息中的“更改设置”按钮将不可用。
可以在“控制面板”的“系统”中查看计算机的 DEP 配置。
为此,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 sysdm.cpl,然后单击“确定”。
2. 单击“高级”选项卡,然后单击“性能”下的“设置”。
3. 在“性能选项”对话框中,单击“数据执行保护”选项卡。
4. 注意,选中的是“仅为基本 Windows 程序和服务启用DEP”还是“为除下列选定程序之外的所有程序和服务启用DEP:”。
如果您的计算机配置为只对基本的 Wind ows 程序和服务启用 DEP,则不能将某个程序作为例外添加。
这种现象是 Windows XP SP2 的设计导致的。
如果您的计算机配置为只对基本的 Windows 程序和服务启用 DEP,并且 DEP 错误信息继续出现,则可能安装了扩展 Windows 功能的程序。
安装这类程序后,可能会导致重要的 Windows 程序或服务中出现 DEP 问题。
如果此问题只是最近才出现,以前没有发生过,或许可以通过删除最近安装的程序来防止出现此 DEP 错误信息。
一、现象
安装Internet Explorer 8(简称IE8)后,打开IE8,出现:“为了帮助保护您的计算机,windows 已经关闭了此程序”,如图1:
如果点击“关闭消息”,出现“发送错误报告”的提示。
如图2:
反复如此,重新启动或者卸载原来的IE7(我的IE8是在IE7的基础上安装的)和IE8后重新安装,现象依旧如此。
二、解决方法:
1、自己验证的方法:
打开“控制面板”,找到“Internet 选项”并双击,“高级”选项卡—“启用内存保护以减少联机攻击”,将前面的勾去掉,“确定”退出,重启IE8,如果没有连接问题的话,一般就可以正常打开IE8了,以后出现ActiveX 控件提示的时候依照情况选择启用。
具体见图3:
(这种方法去掉了“内存保护...”,请您自己选择并确认是否这样做。
)。
过段时间你也可以把这样的设置修改过来,而IE8却一样好好的,我的就是这样,不像以前那样出问题了,不知道为什么。
不行了你再改回去吧,或者试试下面的方法。
2、网络上流行的方法:
方法一:
关闭数据保护,编辑Boot.ini文件,将/NoExecute=OptIn 改为
/NoExecute=AlwaysOff。
要编辑Boot.ini,请在开始中我的电脑上点右键—属性—高级,启动和故障恢复设置,“编辑”即可!
操作方法如下: (见图4)
打开系统分区根目录下的BOOT.INI文件,对其进行编辑。
将其中的
"/noexecute=optin"改为"/execute",保存后重新启动系统,此时系统中的DEP 功能即已关闭。
“NoExecute”属性可参见文后的微软官方链接。
例如,Boot.ini文件内容如下:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
修改后,最后一行变为:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /execute /fastdetect
方法二:“我的电脑”—“属性”—“高级”的“性能”—“设置”,在“性能选项”中点“数据执行保护”选项卡。
如图5—图6:
选择“为除下列选定程序之外的所有程序和服务启用DEP”并找到IE所在的文
件夹(C:\Program Files\Internet Explorer)把iexploer.exe程序加入其中,“确定”保存后,重新启动计算机。
如图7所示:
方法三:(此方法未验证,我的计算机上不存在“Bluetooth 身份验证代理”,可能是配置低)
1. 单击“开始”,指向“设置”,单击“控制面板”,然后双击“添加/
删除程序”。
2. 在“安装/卸载”选项卡上,单击“Bluetooth 身份验证代理”,然后单击“添加/删除”。
3. 重新启动计算机。