V tem članku bomo govorili o varnostni tehnologiji Windows, imenovani SEHOP, ki lahko zaplete napadalca, ki se odloči, da bo vdrl v vaš sistem. Tehnologija SEHOP - Strukturiran Izjema Rokovanje Prepiši Zaščita (zaščita pred prepisovanjem upravljavca strukturnih izjem) je tehnologija proti izkoriščanju, namenjena blokiranju dokaj pogosto uporabljene tehnike za vdore v sistem Windows- Seh prepisati.
Poskusimo na kratko razumeti, kaj je tehnologija. Seh. Seh - Strukturirano ravnanje z izjemami (strukturno ravnanje z izjemami) je mehanizem v operacijskem sistemu Microsoft Windows, ki aplikacijam omogoča nadzor nad obvladovanjem izjem med programsko in strojno opremo, kot so izvajanje prepovedanih navodil, deljenje z ničlo, moten dostop do pomnilnika itd. in obdela te napake neodvisno brez uporabe operacijskega sistema sistem. Tehnologija SEH omogoča programerjem nadzor nad upravljanjem izjem in je tudi orodje za odpravljanje napak. Če izjema ni obdelana, se aplikacija zruši in uporabnik zazna znano okno z napako "Program je izvedel neveljavno operacijo in bo zaprt".
Kazalniki na SEH obdelovalce so večinoma na snopu v okvirjih SEH in prelivni medpomnilnik lahko te manipulatorje prepiše. Napadalci se lahko zatečejo k prepisovanju okvirjev SEH, da bi zavzeli nadzor s spreminjanjem upravljalnika SEH in / ali zatrli zrušitev programa, kadar pride do izjeme (s čimer se napad razkrije).
Tehnologija, ki jo hakerji uporabljajo za prepisovanje SEH-jevih rokovalnikov, se imenuje preoblikovanje strukturnih izjem (Handler Exception Handler) Uporaba Seh prepisati napadalec lahko prenese nadzor na zlonamerno kodo, ki je vdelana prek katere koli razpoložljive ranljivosti (običajno prek prelivanja medpomnilnika).
V operacijskem sistemu Windows Server 2003 je obstajala posebna tehnologija za zaščito pred prelivom medpomnilnika, ki deluje na podlagi SEH (tako se izvaja tudi veliko drugih vrst zaščite). Heker, ki prestreže upravljavca SEH in ga nadomesti s svojim, zaobide to zaščitno tehnologijo, ki preprosto ne deluje..
Za boj proti prepisovanju s SEH je Microsoft leta 2009 deloval na posebni tehnologiji SEHOP. To tehnologijo so uvedli Windows Vista SP1, Windows Server 2008 in vse naslednje verzije sistema Windows. Vendar pa privzeto SEHOP je omogočen samo na strežniških platformah (Windows Server 2008/2008 R2 / 2012).
Med izvajanjem programa se uporablja mehanizem za zaščito pred prepisovanjem nosilca strukturnih izjem. To pomeni, da vam omogoča, da zaščitite aplikacije ne glede na to, ali so bile sestavljene z uporabo sodobnih varnostnih orodij, kot je / SAFESEH, ali brez njih. Poleg tega velja omeniti, da na to vrsto napada ne vpliva 64-bitna koda, tj. SEHOP ščiti samo 32-bitne aplikacije, vključno s tistimi, ki delujejo pod Wow64 na 64-bitnih sistemih.
Na odjemalskih platformah je SEHOP izklopljen zaradi nezdružljivosti z nekaterimi različicami odjemalske programske opreme. Omeniti velja, da je vsa sodobna programska oprema napisana ob upoštevanju posebnosti arhitekture SEHOP, zato bi morali za izboljšanje varnosti sistema Windows omogočiti SEHOP. V primeru, da se po aktiviranju tega zaščitnega mehanizma začnejo pojavljati različne napake v aplikacijski programski opremi, žal, ni združljiv z zaščitnim sistemom SEH za prepisovanje. V tem primeru poskusite opustiti nezdružljivo programsko opremo (ali jo posodobiti na novejšo različico, onemogočiti SEHOP za ločen postopek ali za vse).
Kako aktivirati SEHOP v sistemu Windows za vse aplikacije
Varnostno tehnologijo SEHOP lahko omogočite tako, da spremenite register (spomnite se, da je v sistemu Windows Server 2012/2008 R2 / 2008 ta funkcija že aktivirana)
- Odprite urejevalnik registra regedit.exe
- Pojdi na podružnico HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ jedro
- Poišči ključ DisableExceptionChainValidation, če je odsoten, ga ustvarite (vnesite - Dword, ime - DisableExceptionChainValidation)
- Nastavite tipko DisableExceptionChainValidation na 0 (omogoči SEHOP).
- Zaprite urejevalnik registra in znova zaženite računalnik
Če nekateri programi prenehajo delovati po ponovnem zagonu, jih poskusite posodobiti in če to ne pomaga, onemogočite SEHOP tako, da tipko DisableExceptionChainValidation nastavite na 1.
Poleg tega ne pozabite, da številne aplikacije zaradi SEHOP-a morda ne bodo delovale pravilno. V primeru, da ne želite v celoti onemogočiti SEHOP-a, lahko to funkcijo onemogočite za določene procese.
SEHOP za en sam postopek
Če želite onemogočiti SEHOP za ločen postopek, odprite urejevalnik registra in pojdite na podružnico:
- Za 32-bitni Windows HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Možnosti izvajanja slikovnih datotek
- Za 64-bitni Windows HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \Možnosti izvajanja slikovne datoteke
Znotraj podružnice Slika Datoteka Izvedba Možnosti ustvarite novo vejo z imenom postopka, za katerega želite vrgel izjemo SEHOP (na primer skype.exe). Znotraj tega razdelka ustvarite nov ključ DisableExceptionChainValidation in mu dajte vrednost 1 (s tem onemogočite SEHOP za postopek skype.exe).
Vrednost 0 - omogočite SEHOP za postopek.