„Windows Vista“ pateikė įdomią saugos funkciją, vadinamą ASLR - Adreso vietos išdėstymo atsitiktinumas. Kodui vykdyti naudojamas atsitiktinės atminties adresas, tačiau atrodo, kad „Windows 8“, „Windows 8.1“ ir „Windows 10“ ši funkcija ne visada įgyvendinama tinkamai.

Anot saugos analitiko, šiose trijose paskutinėse „Windows“ versijose ASLR nenaudoja atsitiktinės atminties adresų. Kitaip tariant, tai nenaudinga.

Kaip rankiniu būdu įgyvendinti ASLR

Vykdydamas kodą atsitiktinėje vietoje, ASLR padeda apsaugoti nuo išnaudojimų, kuriais bandote pasinaudoti kodu, kuris vykdomas nuspėjamais ar žinomais atminties adresais.

Problema iškyla, kai EMET arba „Windows Defender Exploit Guard“ naudojama įgalinti privalomą ASLR visos sistemos pagrindu.

Saugumo ekspertas, ištyręs problemą, yra Willas Dormannas, ir jis paaiškina viską, ką reikia žinoti apie problemą, kilusią dėl registro įrašo.

Anot Dormanno, tiek „Windows Defender Exploit Guard“, tiek „EMET“ įgalina visos sistemos ASLR, neįjungdami visos sistemos „iš apačios į viršų“ ASLR.

Net jei „Windows Defender Exploit Guard“ turi visos sistemos parinktį, skirtą visos sistemos „iš apačios į viršų“ ASLR, numatytoji GUI vertė „Įjungta pagal numatytuosius nustatymus“ neatspindi pagrindinės registro vertės.

Tai lems, kad programos be / DYNAMICBASE gali persikelti be entropijos. Programos bus perkeltos tuo pačiu adresu kiekvieną kartą perkraunant kompiuterius ir skirtingose ​​sistemose.

Sprendimas yra tas, kad jūs turite sukurti.reg failą su tokiu tekstu:

„Windows“ registro rengyklės versija 5.00

„MitigationOptions“ = šešiasdešimt: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 0, 00, 00

Tada jūs turite importuoti šį failą į registro rengyklę ir viskas turėtų būti sutvarkyta.

Kai kurie vartotojai teigia, kad problema kyla dėl EMET ir jos pakeitimo, kuris yra įrankis sistemininkams, kurie „turi per daug laiko ant rankų“ ir kurie buvo nutraukti nepakeitus jų. Jie nemano, kad problema yra pagrindinėje ASLR sistemoje.