U ovom ćemo članku govoriti o sigurnosnoj tehnologiji sustava Windows, nazvanoj SEHOP, koja može složiti zadatak napadača koji odluči hakirati vaš sustav. SEHOP tehnologija - Strukturirani izuzetak sekundant Prepiši zaštita (zaštita od prepisivanja strukturnih alata za obradu iznimki) je tehnologija protiv eksplozija dizajnirana za blokiranje prilično često korištene tehnike hakiranja Windows sustava- Seh prepisati.
Pokušajmo ukratko razumjeti što je tehnologija. SEH. SEH - Strukturirano rukovanje iznimkama (strukturalno rukovanje iznimkama) je mehanizam u sustavu Microsoft Windows koji omogućuje aplikacijama da dobiju kontrolu kada nastanu iznimke softvera i hardvera, kao što su izvršavanje zabranjenih uputa, dijeljenje na nulu, onemogućen pristup memoriji itd. i procesuiraju ove pogreške samostalno bez korištenja operativnog sustava sustav. SEH tehnologija omogućava programerima kontrolu rukovanja iznimkama, a ujedno je i alat za uklanjanje pogrešaka. Ako se iznimka ne obradi, aplikacija se ruši i korisnik vidi poznati prozor s pogreškom "Program je izvršio nevaljanu operaciju i bit će zatvoren".
Pokazivači na SEH rukovatelje uglavnom su na hrpi u SEH okvirima, a prepuni međuspremnik može prebrisati te rukovatelje. Napadači mogu pribjeći prepisivanju okvira SEH-a kako bi preuzeli kontrolu promjenom SEH-ovog alata i / ili suzbili pad programa kada se dogodi izuzetak (čime se napad raskrinkava).
Tehnologija koju hakeri koriste za prepisivanje SEH rukovatelja naziva se prebrisanjem Structure Exception Handler (SEH). s Seh prepisati napadač može prenijeti kontrolu na zlonamjerni kôd koji je ugrađen putem bilo koje dostupne ranjivosti (obično putem prepunog međuspremnika).
U sustavu Windows Server 2003 postojala je posebna tehnologija zaštite od prepunog međuspremnika koja djeluje na temelju SEH-a (tako se provode i mnoge druge vrste zaštite). Haker, presrećući SEH-a i zamijeni ga vlastitim, zaobilazi ovu tehnologiju zaštite, koja jednostavno ne radi.
Da bi se borio protiv prepisa sa SEH-om, Microsoft je 2009. radio na posebnoj SEHOP tehnologiji. Ovu su tehnologiju uveli Windows Vista SP1, Windows Server 2008 i sve naredne verzije sustava Windows. Međutim, prema zadanim postavkama SEHOP je omogućen samo na platformama poslužitelja (Windows Server 2008/2008 R2 / 2012).
Tijekom pokretanja programa primjenjuje se mehanizam za zaštitu od prepisivanja strukturnog alata za obradu iznimki. To znači da vam omogućuje zaštitu aplikacija bez obzira jesu li sastavljene korištenjem modernih sigurnosnih alata, poput / SAFESEH, ili bez njih. Uz to, vrijedi napomenuti da na ovu vrstu napada ne utječe 64-bitni kod, tj. SEHOP štiti samo 32-bitne aplikacije, uključujući i one koji rade pod Wow64 na 64-bitnim sustavima.
Na klijentskim platformama SEHOP je isključen zbog nekompatibilnosti s nekim verzijama klijentskog softvera. Vrijedi napomenuti da je sav suvremeni softver napisan uzimajući u obzir specifičnosti SEHOP arhitekture, tako da bi se povećala sigurnost vašeg Windows sustava, SEHOP bi trebao biti omogućen. U slučaju da se nakon aktiviranja ovog mehanizma zaštite pojave različite pogreške u aplikacijskom softveru, nažalost, on nije kompatibilan sa SEH sustavom zaštite od prepisivanja. U tom slučaju pokušajte napustiti nekompatibilan softver (ili ga ažurirajte na noviju verziju, onemogućite SEHOP za zaseban postupak ili za sve).
Kako aktivirati SEHOP u sustavu Windows za sve aplikacije
Sigurnosnu tehnologiju SEHOP možete omogućiti izmjenom registra (podsjetite da je u sustavu Windows Server 2012/2008 R2 / 2008 ova značajka već aktivirana)
- Otvorite uređivač registra regedit.exe
- Idi do podružnice HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ kernel
- Pronađite ključ DisableExceptionChainValidation, ako je odsutan, kreirajte ga (upišite - Dword, name - DisableExceptionChainValidation)
- Postavite tipku DisableExceptionChainValidation na 0 (omogućite SEHOP).
- Zatvorite uređivač registra i ponovno pokrenite računalo
U slučaju da nakon ponovnog pokretanja neki od programa prestanu s radom, pokušajte ih ažurirati, a ako to ne pomaže, onemogućite SEHOP postavljanjem tipke DisableExceptionChainValidation na 1.
Uz to, imajte na umu da određeni broj aplikacija možda neće raditi ispravno zbog SEHOP-a. U slučaju da ne želite u potpunosti onemogućiti SEHOP, možete onemogućiti ovu funkciju za određene procese.
SEHOP za jedan proces
Da biste onemogućili SEHOP za zasebni postupak, otvorite uređivač registra i idite na podružnicu:
- Za 32-bitni Windows HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opcije izvršenja slikovnih datoteka
- Za 64-bitni Windows HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \Opcije izvršenja slikovnih datoteka
Unutar grane slika file izvršenje Opcije stvorite novu podružnicu s nazivom postupka za koji želite baciti iznimku SEHOP (na primjer, skype.exe). Unutar ovog odjeljka napravite novi ključ DisableExceptionChainValidation i dati mu vrijednost 1 (čime se onemogućuje SEHOP za postupak skype.exe).
Vrijednost 0 - omogućite SEHOP za postupak.
