系统启用了数据执行保护DEP是否能够完全避免缓冲区溢出的攻击？

[fcyf]

“数据执行保护可帮助保护您的计算机免受病毒和其他安全威胁的破坏。这些病毒
和威胁尝试从受保护的内存位置运行（执行）恶意代码来发起攻击，而只有
Windows 和其他程序才应使用这些位置。这种威胁通过接管程序正在使用的一个或
多个内存位置来执行破坏操作”

这个是windows xp帮助和支持中心关于DEP的描述，是不是可以这样理解，现在比
较火的针对MS08-067的攻击，在支持DEP的cup的电脑上启用DEP，最多也只是造成
那个有漏洞的系统服务破溃？并不能执行shellcode？

[Alexis]

从理论上讲是这样，硬件支持 DEP 技术的 CPU 采用 No Execute 不执行技术识别 Windows DEP 标记出来的可执行代码所占用的内存区域。如果发现当前执行的代码没有明确标记为可执行（例如程序执行之后，由恶意程序溢出到代码执行区的那部分代码），则自动禁止。

不过 MS08-067 漏洞好像并不完全是缓冲区溢出的问题，只开启 DEP 是不够的，还是应该安装 KB958644。

--
Alexis Zhang

http://blogs.itecn.net/blogs/alexis
https://mvp.support.microsoft.com/profile/jie

微软中文新闻组 微软中文技术社区
Windows 系统组站长

有关访问新闻组时遇到的问题，
请发送至 microsoft.public.cn.announcement 站务组。

本人的新书《实战多操作系统与虚拟机》清华大学出版社 2008 年 3 月第一版，详情请见：

http://blogs.itecn.net/blogs/alexis/archive/2008/02/29/_B065664E0A4E025E_-_0DFF0A309E5B18621A59CD645C4FFB7CDF7E0E4E5A86DF623A670B30_.aspx

本帖是回复帖，原帖作者是楼上的 "fcyf" <mail...@gmail.com>；原帖链接：news:O5FuI9DO...@TK2MSFTNGP05.phx.gbl

[fcyf]

于 2008-10-28 11:26, Alexis 写道:
> 从理论上讲是这样，硬件支持 DEP 技术的 CPU 采用 No Execute 不执行技术识别 Windows DEP 标记出来的可执行代码所占用的内存区域。如果发现当前执行的代码没有明确标记为可执行（例如程序执行之后，由恶意程序溢出到代码执行区的那部分代码），则自动禁止。
>
> 不过 MS08-067 漏洞好像并不完全是缓冲区溢出的问题，只开启 DEP 是不够的，还是应该安装 KB958644。
>

谢谢Alexis，哈哈，新闻组就是个好地方，人不多还有MVP解答

[9256...@qq.com]

于 2008-10-28 11:26, Alexis 写道:
> 从理论上讲是这样，硬件支持 DEP 技术的 CPU 采用 No Execute 不执行技术识别
> Windows DEP 标记出来的可执行代码所占用的内存区域。如果发现当前执行的代码没有明确标记为可执行（例如程序执行之后，由恶意程序溢出到代码执行区的那部分代码），则自动禁止。
>
> 不过 MS08-067 漏洞好像并不完全是缓冲区溢出的问题，只开启 DEP 是不够的，还是应该安装 KB958644。

"fcyf" <mail...@gmail.com> 写入消息
news:eNSM%23UQOJ...@TK2MSFTNGP02.phx.gbl...