‫ شکست روش کلیدی ضد بدافزار در ویندوز ۱۰

بیش از یک دهه قبل، مایکروسافت روشی به نام ASLRارايه داد. در این روش نواحی کلیدی حافظه به‌صورت تصادفی تغییر داده و در هر بار اجرای برنامه، داده‌های آن در مکان‌های مختلفی ذخیره می‌شوند. به دلیل وجود این ویژگی، مهاجم نمی‌تواند آدرس‌های موردنیاز خود را برای سوءاستفاده پیش‌بینی نماید.

در ویندوز 10، به نظر می‌رسد در رابطه با این روش مشکلی وجود دارد و داده‌ها در مکان یکسانی ذخیره می‌شوند. برای درک اهمیت این مشکل مثالی ذکر می‌شود. در این مثال تصور شده است که فردی صندوق پستی ناامنی دارد که دائماً از آن سرقت می‌شود. یکی از راه‌های مقابله با این مشکل این است که چندین صندوق‌ پستی پراکنده برای این فرد درنظر گرفته شود و کارمند پست هر روز، نامه‌های فرد را در زیرمجموعه‌ای از صندوق‌های پستی موجود (به‌طور مثال 30 صندوق پستی کل) قرار ‌دهد. با این کار برای یافتن نامه باید تمامی صندوق‌ها جستجو شوند که این کار برای دزد نامه‌ها زمان‌بر خواهد بود.

درواقع، در ویندوز 7 و ASLRموجود در ابزار EMET (Enhanced Mitigation Experience Toolkit)، آدرس بارگذاری شده برای eqnedt32.exeدر هر راه‌اندازی مجدد، متفاوت است؛ اما در ویندوز 10، چه با EMETیا با WDEG(Windows Defender Exploit Guard)، آدرس پایه‌ی eqnedt32.exeهر بار 0×10000است. درنتیجه ویندوز 10 نمی‌تواند ASLRرا همچون ویندوز 7 اجرا کند!

حال تصور می‌شود که به‌جای قرار دادن پنج نامه در پنج مکان مختلف، کارمند پستی آن‌ها را همیشه در مکان‌های یکسانی قرار دهد. درواقع این موضوع مشکل موجود در ویندوز 8 و ویندوز 10 است که بدون هیچ‌گونه تصادفی، حفاظتی نیز وجود نخواهد داشت.

برای دریافت این مستند کلیک نمایید


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 14 آذر 1396

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0