Windows Vista je prinesel zanimivo varnostno funkcijo, imenovano ASLR - Randomization postavitve naslova prostora. Ta uporablja naključni pomnilniški naslov za izvršitev kode, vendar se v sistemih Windows 8, Windows 8.1 in Windows 10 zdi, da se ta funkcija ne izvaja vedno pravilno.

Kot trdi varnostni analitik, v teh treh zadnjih različicah sistema Windows ASLR ne uporablja naključnih naslovov pomnilnika. Z drugimi besedami, neuporabno.

Kako ročno implementirati ASLR

Z izvrševanjem kode na naključni lokaciji ASLR pomaga zaščititi pred podvigi, s katerimi poskušate izkoristiti kodo, ki se izvaja na predvidljivih ali znanih naslovih pomnilnika.

Težava se pojavi, ko EMET ali Windows Defender Exploit Guard uporabljate za obvezno ASLR na sistemski ravni.

Strokovnjak za varnost, ki je preučeval težavo, je Will Dormann in razloži vse, kar morate vedeti o vprašanju, do katerega pride zaradi vnosa v register.

Po Dormannovih besedah ​​tako Windows Defender Exploit Guard kot EMET omogočata ASLR na celotnem sistemu, ne da bi omogočili tudi ASLR od spodaj navzgor.

Tudi če ima Windows Defender Exploit Guard sistemsko možnost za celoten sistem od spodaj navzgor-ASLR, privzeta vrednost GUI "Privzeto vklopljena" ne odraža osnovne vrednosti registra.

To bo pripeljalo do dejstva, da se programi brez / DYNAMICBASE preselijo brez entropije. Programi bodo vsakič preneseni na isti naslov prek ponovnih zagonov in v različnih sistemih.

Rešitev je, da morate ustvariti.reg datoteko z naslednjim besedilom:

Različica urejevalnika registra Windows 5.00

"Možnosti ublažitve" = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00

Nato morate to datoteko uvoziti v urejevalnik registra in vse bi bilo treba urediti.

Nekateri uporabniki trdijo, da težava izhaja iz sistema EMET in njegove zamenjave, ki je orodje za sysadmine, ki imajo "preveč časa na rokah" in so ga odpravili brez zamenjave. Mislijo, da težava ni v sistemu ASLR.