Windows: qual é a diferença entre a DEP sempre ativada e a DEP desativada sem exceções?

6
  1. Qual é a diferença entre o DEP sempre on ("/ NoExecute = AlwaysOn" no boot.ini) e o opt-out de DEP ("/ NoExecute = OptOut" no boot.ini) com sem exceções ?

    "sem exceções" = lista vazia de programas para os quais a DEP não se aplica. DEP = Prevenção de Execução de Dados (hardware).

    Espera-se que funcione da mesma maneira, mas faz diferença para algumas aplicações:

    Por exemplo para todas as versões de UltraEdit 14 (14.2). Ele falha na inicialização do DEP sempre ativada, pelo menos no Microsoft Windows XP Professional Edição x64 edição. ( Atualização 2010-03-11 : este problema tem sido corrigido com o UltraEdit 15.2 e posterior.)

    Atualização 2010-07-12 : Mozilla Thunderbird 2.0.0.19 também trava na inicialização para o DEP definido para o nível mais alto (como o UltraEdit costumava fazer).

  2. Existe uma diferença entre o Windows XP, o Windows Vista e Windows 7?

  3. Existe uma diferença entre as versões de 32 e 64 bits de Windows?

por Peter Mortensen 29.05.2009 / 21:16

7 respostas

1

Para a pergunta 1: acho que essa diferença é causada pelos backdoors que a Microsoft colocou na DEP de hardware da OptOut, de acordo com Fabrice Roux (veja abaixo). No caso do IrfanView, para o qual Steve Gibson observou a mesma diferença que eu com o UltraEdit (veja a pergunta), a diferença é causada por um empacotador EXE não-DEP (ASPack) que a Microsoft codificou um backdoor.

Fontes:

De link ,   "Hardware DEP tem um backdoor" por Fabrice Roux.   2007-02-26.   "O IrfanView não estava usando nenhum truque para fugir da DEP ...     A Microsoft acabou de codificar um backdoor usado apenas no OPTOUT.     Basicamente, a Microsoft verifica o cabeçalho do executável por um     seção correspondente a uma das 3 cordas. Se um destes     strings for encontrada, a DEP será DESATIVADA     aplicação pelo windows. ... 'aspack', 'pcle', 'sforce' "

De link ,   por Steve Gibson.   "Não consigo encontrar nenhuma documentação no site da Microsoft     em qualquer lugar, porque estamos vendo uma diferença entre     sempre ligado e desativado. Isto é, você imaginaria que     modo sempre ligado seria o mesmo que optar por sair se você     não estava tendo nenhum programa de desativação. Acontece que é     não é o caso. Por exemplo ... o visualizador de arquivos IrfanView     ... funciona bem no modo de desativação, mesmo que não tenha sido     optou por sair. Mas não será lançado, o Windows bloqueia a partir de     lançando ... no modo sempre ligado. "

De link ,   por Steve Gibson.   "... O IrfanView ... não será executado com a DEP ativada. É     porque ele usa um empacotador EXE, uma compactação executável     programa chamado ASPack. E faz sentido que     não seria porque naturalmente um compressor executável     tem que descompactar o executável, então ele aloca     monte de memória de dados em que descompacta o     executável compactado e, em seguida, ele é executado. Bem é isso     executando uma alocação de dados, que é exatamente o que DEP é     projetado para parar. Por outro lado, o UPX, que é     na verdade, o principal e mais popular compressor EXE,     é compatível com o DEP porque esses caras perceberam     quando alocamos esta memória, devemos marcar as páginas     como executável. "

    
por 23.06.2010 / 13:59
4

Descrição da configuração

OptIn Essa configuração é a configuração padrão. Em sistemas com processadores que podem implementar a DEP aplicada por hardware, a DEP é habilitada por padrão para binários e programas limitados do sistema que "optam por". Com essa opção, somente os binários do sistema Windows são cobertos pela DEP por padrão.

A

OptOut DEP é ativada por padrão para todos os processos. Você pode criar manualmente uma lista de programas específicos que não têm DEP aplicado usando a caixa de diálogo sistema no painel de controle. Os profissionais de tecnologia da informação (TI) podem usar o Application Compatibility Toolkit para "excluir" um ou mais programas da proteção da DEP. Correções de compatibilidade do sistema, ou correções, para DEP têm efeito.

AlwaysOn Essa configuração fornece cobertura completa de DEP para todo o sistema. Todos os processos são sempre executados com o DEP aplicado. A lista de exceções para isentar programas específicos da proteção DEP não está disponível. Correções de compatibilidade do sistema para a DEP não entram em vigor. Os programas que foram desativados usando o Application Compatibility Toolkit são executados com o DEP aplicado.

AlwaysOff Essa configuração não fornece nenhuma cobertura de DEP para nenhuma parte do sistema, independentemente do suporte de DEP do hardware. O processador não é executado no modo PAE, a menos que a opção / PAE esteja presente no arquivo Boot.ini.

    
por 02.06.2009 / 22:40
2

Definir o nível da Diretiva DEP do sistema como OptOut permite que qualquer thread de 32 bits chame SetSystemDEPPolicy (0), o que desabilitará a proteção DEP para o espaço de memória alocado para esse processo. Se a política de DEP do sistema estiver definida como AlwaysOn, invocações de SetSystemDEPPolicy lançarão um erro.

    
por 07.06.2012 / 20:05
0
por 29.05.2009 / 21:23
0

Existe uma discussão bastante grande sobre isso na página protegível de Steve Gibson. Além disso, eles discutiram isso com bastante frequência no podcast de segurança agora . Você pode encontrar as transcrições também em grc.com

    
por 29.05.2009 / 21:24
0

O KB 875352 é realmente o mesmo: o OptOut permite que você especifique uma lista de programas para os quais o DEP não se aplica, o AlwaysOn aplicará o DEP a tudo sempre.

    
por 29.05.2009 / 21:49
0

Eu sei que este é um tópico antigo, mas eu perguntei isso novamente hoje e quero colocar isso para descansar. AlwaysOn vai habilitar a DEP em todos os programas. OptOut significa simplesmente que o usuário pode especificar aplicativos que seriam OptOut da DEP. Se o aplicativo não estiver listado em Exceções, a DEP será ativada para esse aplicativo.

    
por 15.12.2015 / 20:32