Конференция VBStreets

[ANDLL]

Что это такое, и как его отключить?

А то там только два варианта включения почему-то...

[Ennor]

Издеваешься? У тебя на скрине фокус на справочной ссылке. И винда русская, и все равно - смотрим мы на все вокруг широко закрытыми глазами...

[ANDLL]

Предотвращение выполнения данных (DEP) используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, которые выполняют вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. Такой тип угроз безопасности наносит ущерб, занимая по очереди все области памяти, используемые программой. Затем вирус распространяется и повреждает другие программы, файлы и даже контакты электронной почты.

В отличие от брандмауэра или антивирусной программы средство DEP не препятствует установке потенциально опасных программ на компьютер. Вместо этого выполняется наблюдение, чтобы программы использовали системную память безопасным образом. Для этого DEP работает отдельно или вместе с совместимыми микропроцессорами и помечает некоторые области как «невыполняемые». Если программа пытается запустить код (любой код) из защищенной области, DEP закрывает программу и отображает уведомление.

DEP может использовать поддержку программного и аппаратного обеспечения. Для использования DEP на компьютере должна быть установлена операционная система Пакет обновления 2 для Microsoft Windows XP (SP2) или Windows Server 2003 с пакетом обновления 1 (SP1), или более поздняя версия одной из этих программ. Программное обеспечение DEP используется для защиты от некоторых типов атак вредоносного кода, но для использования возможностей DEP в полном объеме процессор должен поддерживать «защиту от выполнения». Это аппаратная технология, разработанная для обозначения некоторых областей памяти как невыполняемых. Если процессор не поддерживает аппаратную версию DEP, рекомендуется обновить процессор, чтобы использовать возможности защиты от выполнения.

Это какой-то бред... Как процессор определяет, какие данные предназначены длля выполнения, а какие нет? Да и вообще, больше интересует, признаюсь второй вопрос...

[Sedge]

Да все понятно. Очередная паранойа от Microsoft, призванная бороться с вездесущей ошибкой переполнения буфера... Отключается, насколько я помню, с помощью небольшой пляски с бубном вокруг boot.ini и добавлением в него ключа NoExecute=AlwaysOff (по-моему так).

[tyomitch]

Как процессор определяет, какие данные предназначены длля выполнения, а какие нет?

По флагам секций в PE-файле, и по флагам PAGE_*, передаваемым в VirtualAlloc.

[Sebas]

Как процессор определяет, какие данные предназначены длля выполнения, а какие нет?

По флагам секций в PE-файле, и по флагам PAGE_*, передаваемым в VirtualAlloc.

А мож НТФС потоки?

[ANDLL]

А строка, резирвированная с помощью malloc тоже считается данными?

[FaKk2]

ANDLL

Все что резервируется malloc это данные, насколько я помню.

[ANDLL]

2Sedge: Спасибо, действительно теперь не работает.

А как же тогда резервировать код?

[tyomitch]

Как процессор определяет, какие данные предназначены длля выполнения, а какие нет?

По флагам секций в PE-файле, и по флагам PAGE_*, передаваемым в VirtualAlloc.

А мож НТФС потоки?

С чего бы это вдруг?

2ANDLL: именно так и резервировать, вызовом VirtualAlloc
Всё равно malloc неизбежно сводится именно к нему.

[ANDLL]

The VirtualAlloc function reserves or commits a region of pages in the virtual address space of the calling process. Memory allocated by this function is automatically initialized to zero, unless MEM_RESET is specified

Темыч, у тебя ли, конечно, спрашивать, но ты уверен?

VirtualAlloc резервирует(или передает) серию страниц в памяти. Соответственно, регион, зарезирвированный с помощью VirtualAlloc округляется до размера кратного 64 Кб.
А malloc вызывает HeapAlloc, который вообще не округляет размер региона. HeapAlloc, как я понимаю, сама вызывает VirtualAlloc в случае, если заканчиваются выделенные страницы. А может и нет. Фишка в том, что HeapAlloc не принимает параметров касательно типа выделяемой памяти...

[tyomitch]

VirtualAlloc резервирует(или передает) серию страниц в памяти. Соответственно, регион, зарезирвированный с помощью VirtualAlloc округляется до размера кратного 64 Кб.
А malloc вызывает HeapAlloc, который вообще не округляет размер региона. HeapAlloc, как я понимаю, сама вызывает VirtualAlloc в случае, если заканчиваются выделенные страницы. А может и нет. Фишка в том, что HeapAlloc не принимает параметров касательно типа выделяемой памяти...

Во-первых, страница - это 4Кб
А во-вторых, подчёркнутое совершенно верно. Как любят на этом форуме заявлять переAPIсты, какой смысл вызывать функцию через обёртку, если можно напрямую? Тем более, что в данном случае для этого есть веские основания: malloc/HeapAlloc не предоставляет нужной функциональности.

[ANDLL]

Так мне не нужно 4 Кб Мне там буквально байт 100... Но часто. Может можно как-то выстваить в HeapCreate параметры для вновь созданных регионов. Т.е. что бы вызывать HeapAlloc, но при этос страницы выделялись с PAGE_EXECUTE_READWRITE.

Кстати, в чем смысл PAGE_EXECUTE_READ, если в такой регион нельзя ничего записать?

[tyomitch]

1. Атрибуты защиты применяются только к страницам целиком. Другими словами, ни ты, ни HeapAlloc не сможете выделить меньше 4Кб за раз. Просто HeapAlloc выделяет сразу много, а тебе отдаёт по кусочкам.
Если нужно часто выделять по 100 байт - делай то же самое: выдели себе страницу с правом на выполнение, и пользуйся помаленьку

2. Для защиты. Например, если между стеком и кодом выделить такую страницу, то переполнение стека не затрёт код (и приведёт к выполнению чёрт знает чего), а вызовет исключение, которое можно обработать.

[beefon]

А в Win x64 DEP уже можно отключить.

[ANDLL]

Да и в WinXP тоже.