轻松防0Day 增强的缓解体验工具包 EMET 4.1

一,官方下载

Enhanced Mitigation Experience Toolkit 4.1

http://www.microsoft.com/en-us/download/details.aspx?id=41138

Enhanced Mitigation Experience Toolkit 4.0

http://www.microsoft.com/en-us/download/details.aspx?id=39273

Enhanced Mitigation Experience Toolkit v3.0

http://www.microsoft.com/en-us/download/details.aspx?id=29851

二,功能简介

官方介绍:http://support.microsoft.com/kb/2458544

官方博客:http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx


转载:http://bbs.kafan.cn/thread-976536-1-1.html

微软发布的一款软件EMET全称Enhanced Mitigation Experience Toolkit, 是依托系统(windows)本身的防御机制来阻止对各类软件漏洞的利用。其防御手段包括DEP、SEHOP、NullPage、HeapSpray、EAF、ASLR等。

软件漏洞和非法利用已经成为了我们网络生活的一部分,它们几乎无处不在。所有的软件都存在漏洞,每个软件产品不得不去处理这些漏洞,用户也必须时时面对一系列的安全更新。然而无论更新如何快速,力终有未逮时:很多用户面临利用了最新漏洞的攻击而相关的补丁和更新却还未推出,有些用户未能及时更新相关补丁面对攻击毫无抵抗能力。无论哪种情况结果都是毁灭性的:系统中毒,文件丢失,资料泄露......

而EMET从设计伊始就为了应对这类情况。它利用一系列技术手段使得攻击者利用软件或系统漏洞的难度大大提高。EMET允许使用者管理配置这些防御技术手段,并且带来了如下的好处:

1、不需要相关软件的源代码支持。迄今为止,很多对漏洞的防御手段都需要应用程序的自行开启并需要软件为此重新编译。而EMET不需要这些,只要用户使用EMET进行相关设置即可,无须重新编写相关软件。

2、高度的可定制性。EMET提供了对每个单独进程单独设置特定防御配置的方案。这大大提高了兼容性。如果发现相关程序发生不兼容状况,用户仅需关闭相关选项即可。

3、有利于提高老旧软件的安全性。不得不使用那些十分老旧的软件的情况并不少见。不幸的是这些老旧软件存在很多安全漏洞从而导致了很高的安全风险。EMET通过增加黑客利用这些漏洞的难度来降低使用这些软件的安全风险,当然最好的解决方案就是淘汰老旧软件使用新软件。

4、便于使用。系统的漏洞防御措施可以通过EMET用户界面直观展现和设置,从而不需要繁难的注册表设置和编辑。使用EMET你可以在一个统一的界面中调整这些安全设置,而不需要涉及底层平台。

相关技术简介:
DEP(Date Execution Prevention)数据执行保护:DEP通过处理器的(No eXecute)功能,查找内存中没有明确包含可执行代码的数据,找到这些数据后,NX将它们都标记为“不可执行”。以后如果某程序在内存中,试图执行这些带“不可执行”标记的代码,SP2将会自动关闭该程序。因此,假如你运行了一个已经染毒的软件,DEP就会把病毒代码标记为“不可执行”,这样就能阻止病毒在内存中运行,保护电脑中的文件免受蠕虫、病毒的传染破坏。

ASLR(Address Space Layout Randomization)地址空间布局随机化:通过将系统可执行程序随机装载到内存里,从而防止缓冲溢出攻击。如果一个动态链接库(DLL)文件的动态重定位标志设置为真,那么它就会自动地随机装载到内存中。那些在特定内存区域寻找特定文件的恶意软件就会失效不能再li利用漏洞。实际上ASLR还能通过让那些正受攻击的系统文件崩溃来误导恶意软件。

SEHOP(Structured Exception Handling Overwrite Protection )结构化异常处理覆写保护:专门用于对抗覆盖SEH此类攻击。它会检测程序栈中的所有SHE结构链表,特别是最后一个SHE结构(拥有一个特殊的异常处理函数指针)向其中插入一个硬地址,这样通常覆盖SEH后为了稳定溢出而使用的payload就会破坏掉SEH链,从而导致SEH链找不到末尾的地址于是系统就会认为SEH被覆盖了,从而进程被终止。

EAF(Export Address Table Access Filtering)导出表地址过滤:当前绝大部分的Shellcode在运行时都需要搜索要用到的API地址,而这一行为通常是通过对相应模块导出表的遍历来实现的。而EAF通过对ntdll.dll和kernel32.dll导出表的相应位置下硬件断点,来监控shellcode 对导出表的搜索行为。

Heapspray Allocations:顾名思义用来对抗使用HeapSpray的方法来执行shellcode。预先把有可能被Spray的常见内存地址分配掉这样shellcode就不能执行了。

Null Page Allocation:类似HeapSpray,利用提前占位的方式,将空指针未初始化之前默认指向的可能地址先分配掉,这样恶意代码也就不能执行了。

《轻松防0Day 增强的缓解体验工具包 EMET 4.1》有0个评分

★★★★★
★★★★
★★★
★★
0
0
0
0
0

发表评论

电子邮件地址不会被公开。 必填项已用*标注