Windows数据执行保护机制
硬件和软件的目的不是为了防止DEP技术实现对计算机有害程序安装。相反,它监视安装的程序来确定他们是否安全地使用系统内存。为了监控程序,硬件实施DEP将跟踪已被指定为该地区的;的内存区。如果内存已被指定为不执行,但是某个程序试图执行代码通过内存,Windows将关闭程序,以防止恶意代码。代码是否是恶意的或不,它将执行此操作。软件和硬件DEP保护Windows核心组件和服务的默认配置,并对应用程序兼容性的影响微乎其微,但我们可以选择配置DEP保护计算机上的所有应用程序和程序。如果我们配置DEP保护计算机上的所有应用程序和程序,我们可以得到额外的保护,但它也可能导致其他应用程序兼容性问题。如果我们配置DEP保护计算机上的所有应用程序和程序,及兼容性问题存在于某些32位应用程序,你可以免除这些应用软件DEP保护。
当Windows是部分与部分的DEP设置初始化,初始化根据NTLDR以前的用户选择的启动配置。DEP设置大致如下:
(1)每个进程的设置(写入系统的全局共享内存区域)
设置分为可执行文件执行(保护)和可执行noexecute(DEP保护)。同时有例外和包括两设置。2 * 2 =共4设置。
(2)CPU中寄存器的设置。要打开DEP,您需要设置CPU的相关标志。
(3)用户态程序,在异常0x10000004的非法访问的处理,是基于设置在(1)。如果进程不打开数据执行保护,则忽略异常。
(4)在内核态,当执行保护打开,可能引发的0x000000fc。
(2)步骤的设置应该是英特尔的DEP方案。(1)应该在复制写入时使用。(1)触发(2)的结果(3)(4)。