Para a pergunta 1: acho que essa diferença é causada pelos backdoors que a Microsoft colocou na DEP de hardware da OptOut, de acordo com Fabrice Roux (veja abaixo). No caso do IrfanView, para o qual Steve Gibson observou a mesma diferença que eu com o UltraEdit (veja a pergunta), a diferença é causada por um empacotador EXE não-DEP (ASPack) que a Microsoft codificou um backdoor.
Fontes:
De link , "Hardware DEP tem um backdoor" por Fabrice Roux. 2007-02-26. "O IrfanView não estava usando nenhum truque para fugir da DEP ... A Microsoft acabou de codificar um backdoor usado apenas no OPTOUT. Basicamente, a Microsoft verifica o cabeçalho do executável por um seção correspondente a uma das 3 cordas. Se um destes strings for encontrada, a DEP será DESATIVADA aplicação pelo windows. ... 'aspack', 'pcle', 'sforce' "
De link , por Steve Gibson. "Não consigo encontrar nenhuma documentação no site da Microsoft em qualquer lugar, porque estamos vendo uma diferença entre sempre ligado e desativado. Isto é, você imaginaria que modo sempre ligado seria o mesmo que optar por sair se você não estava tendo nenhum programa de desativação. Acontece que é não é o caso. Por exemplo ... o visualizador de arquivos IrfanView ... funciona bem no modo de desativação, mesmo que não tenha sido optou por sair. Mas não será lançado, o Windows bloqueia a partir de lançando ... no modo sempre ligado. "
De link , por Steve Gibson. "... O IrfanView ... não será executado com a DEP ativada. É porque ele usa um empacotador EXE, uma compactação executável programa chamado ASPack. E faz sentido que não seria porque naturalmente um compressor executável tem que descompactar o executável, então ele aloca monte de memória de dados em que descompacta o executável compactado e, em seguida, ele é executado. Bem é isso executando uma alocação de dados, que é exatamente o que DEP é projetado para parar. Por outro lado, o UPX, que é na verdade, o principal e mais popular compressor EXE, é compatível com o DEP porque esses caras perceberam quando alocamos esta memória, devemos marcar as páginas como executável. "