Windows: qual é a diferença entre a DEP sempre ativada e a DEP desativada sem exceções?

Para a pergunta 1: acho que essa diferença é causada pelos backdoors que a Microsoft colocou na DEP de hardware da OptOut, de acordo com Fabrice Roux (veja abaixo). No caso do IrfanView, para o qual Steve Gibson observou a mesma diferença que eu com o UltraEdit (veja a pergunta), a diferença é causada por um empacotador EXE não-DEP (ASPack) que a Microsoft codificou um backdoor.

Fontes:

De link ,   "Hardware DEP tem um backdoor" por Fabrice Roux.   2007-02-26.   "O IrfanView não estava usando nenhum truque para fugir da DEP ...     A Microsoft acabou de codificar um backdoor usado apenas no OPTOUT.     Basicamente, a Microsoft verifica o cabeçalho do executável por um     seção correspondente a uma das 3 cordas. Se um destes     strings for encontrada, a DEP será DESATIVADA     aplicação pelo windows. ... 'aspack', 'pcle', 'sforce' "

De link ,   por Steve Gibson.   "Não consigo encontrar nenhuma documentação no site da Microsoft     em qualquer lugar, porque estamos vendo uma diferença entre     sempre ligado e desativado. Isto é, você imaginaria que     modo sempre ligado seria o mesmo que optar por sair se você     não estava tendo nenhum programa de desativação. Acontece que é     não é o caso. Por exemplo ... o visualizador de arquivos IrfanView     ... funciona bem no modo de desativação, mesmo que não tenha sido     optou por sair. Mas não será lançado, o Windows bloqueia a partir de     lançando ... no modo sempre ligado. "

De link ,   por Steve Gibson.   "... O IrfanView ... não será executado com a DEP ativada. É     porque ele usa um empacotador EXE, uma compactação executável     programa chamado ASPack. E faz sentido que     não seria porque naturalmente um compressor executável     tem que descompactar o executável, então ele aloca     monte de memória de dados em que descompacta o     executável compactado e, em seguida, ele é executado. Bem é isso     executando uma alocação de dados, que é exatamente o que DEP é     projetado para parar. Por outro lado, o UPX, que é     na verdade, o principal e mais popular compressor EXE,     é compatível com o DEP porque esses caras perceberam     quando alocamos esta memória, devemos marcar as páginas     como executável. "

Descrição da configuração

OptIn Essa configuração é a configuração padrão. Em sistemas com processadores que podem implementar a DEP aplicada por hardware, a DEP é habilitada por padrão para binários e programas limitados do sistema que "optam por". Com essa opção, somente os binários do sistema Windows são cobertos pela DEP por padrão.

OptOut DEP é ativada por padrão para todos os processos. Você pode criar manualmente uma lista de programas específicos que não têm DEP aplicado usando a caixa de diálogo sistema no painel de controle. Os profissionais de tecnologia da informação (TI) podem usar o Application Compatibility Toolkit para "excluir" um ou mais programas da proteção da DEP. Correções de compatibilidade do sistema, ou correções, para DEP têm efeito.

AlwaysOn Essa configuração fornece cobertura completa de DEP para todo o sistema. Todos os processos são sempre executados com o DEP aplicado. A lista de exceções para isentar programas específicos da proteção DEP não está disponível. Correções de compatibilidade do sistema para a DEP não entram em vigor. Os programas que foram desativados usando o Application Compatibility Toolkit são executados com o DEP aplicado.

AlwaysOff Essa configuração não fornece nenhuma cobertura de DEP para nenhuma parte do sistema, independentemente do suporte de DEP do hardware. O processador não é executado no modo PAE, a menos que a opção / PAE esteja presente no arquivo Boot.ini.

Definir o nível da Diretiva DEP do sistema como OptOut permite que qualquer thread de 32 bits chame SetSystemDEPPolicy (0), o que desabilitará a proteção DEP para o espaço de memória alocado para esse processo. Se a política de DEP do sistema estiver definida como AlwaysOn, invocações de SetSystemDEPPolicy lançarão um erro.

Uma descrição detalhada do recurso DEP (Prevenção de Execução de Dados) no Windows XP Service Pack 2, no Windows XP Tablet PC Edition 2005 e Windows Server 2003

O título mais curto e mais rápido é MS KB 875352; -)

Mais do que você precisava saber ...

Existe uma discussão bastante grande sobre isso na página protegível de Steve Gibson. Além disso, eles discutiram isso com bastante frequência no podcast de segurança agora . Você pode encontrar as transcrições também em grc.com

O KB 875352 é realmente o mesmo: o OptOut permite que você especifique uma lista de programas para os quais o DEP não se aplica, o AlwaysOn aplicará o DEP a tudo sempre.

Eu sei que este é um tópico antigo, mas eu perguntei isso novamente hoje e quero colocar isso para descansar. AlwaysOn vai habilitar a DEP em todos os programas. OptOut significa simplesmente que o usuário pode especificar aplicativos que seriam OptOut da DEP. Se o aplicativo não estiver listado em Exceções, a DEP será ativada para esse aplicativo.