拒绝病毒:使用Win7数据执行保护
导读:目前在Windows 7操作系统中,防范病毒的能力进一步加强,比如Win7数据执行保护(DEP Data Execution Prevention,数据执行保护技术)就能很好的拒绝病毒的入侵,让你的PC处理安全的环境中,具体怎么使用使用Win7数据执行保护功能,下面的文章会为你介绍到.
一、DEP溯源
DEP数据执行保护功能是一种可帮助保护计算机免受病毒和其他安全威胁的破坏的功能。众所周知,病毒也是一种程序,只不过是特殊的程序,因此在执行过程中也离不开内存。DEP技术与防火墙或者防病毒程序根本的区别在于从内存地址上加以阻截,而不是防止危险程序或者危害代码的运行——从目前的病毒发展趋势来看,从受保护的内存位置运行(执行)恶意代码来发起攻击,是病毒的一种发展趋势,这种威胁通过接管程序正在使用的一个或多个内存位置来执行破坏操作,之后,它会进行传播,从而破坏其他程序、文件乃至您的电子邮件联系人。而这恰恰是反病毒技术的弱点。支持DEP技术的CPU将某些常用内存位置标记为“不可执行”,如若任何一个程序尝试从不可执行的位置运行代码,同样支持DEP技术的操作系统将会自动关闭该程序,如此便彻底扼杀了所有危险程序与代码,而不是疲于应付地更新病毒库。
图1 数据执行保护
DEP是操作系统底层的安全防护机制,其本身虽然不具备对病毒检测的功能。但如果有利用漏洞溢出包括本地溢出的病毒发作时,DEP可以起到防护作用,确定它们是否能够安全地使用系统内存。要执行监视操作,DEP软件既可以独立运行,也可以与兼容微处理器协作,将某些内存位置标记为“不可执行”。如果程序尝试从受保护的内存位置运行代码(无论是否为恶意代码),DEP均将关闭程序并向您发送通知。
DEP技术并非Windows 7操作系统中首创,其最早被用在Microsoft Windows XP Service Pack 2(SP2)或更高版本,或者Windows Server 2003 Service Pack 1(SP1)或更高版本中。但随着技术的不断成熟及宣传的深入,在新一代Windows 7操作系统中人们才真正关注到它。
二、支持DEP的硬件
DEP可以利用软件和硬件进行支持。要使用软件DEP,您的计算机必须运行Windows XP SP2或更高版本,或者Windows Server 2003 SP1或更高版本。DEP软件独立运行时可帮助防御某些类型的恶意代码攻击,但要充分利用DEP可以提供的保护功能,您的处理器必须支持“执行保护”功能,也就是实现硬件DEP。执行保护是一种基于硬件的技术,用于将内存位置标记为“不可执行”。如果您的处理器不支持基于硬件的DEP,则最好将其升级为能够提供执行保护功能的处理器。
事实上,DEP技术并非由微软首发,而是内嵌于CPU中,只是这项功能的执行必须得到操作系统的支持。在最近几年中,病毒与蠕虫之所以会如此猖獗,一方面是拜系统本身的漏洞所赐,另一方面则是杀毒软件本身技术的滞后性。目前摆在业界面前的不仅仅是更新病毒库代码,这种被动的方式不可能取得最终的胜利。痛定思痛,从源头上阻截病毒与蠕虫才是关键,而这一艰巨的任务自然得交给智能化程度最高的中央处理器。而目前处理器的DEP技术有哪些呢?目前支持DEP功能的处理器又有哪些呢?
图2 数据执行保护无处不在
“Execute Disable Bit(EBD)”是Intel在新一代处理器中引入的一项配合微软的DEP功能的功能,开启该功能后,可以防止病毒、蠕虫、木马等程序利用溢出、无限扩大等手法去破坏系统内存并取得系统的控制权,实现自我保护,从而避免诸如“冲击波”之类病毒的恶意攻击。目前英特尔主流桌面处理器及服务器处理器产品皆支持该功能。
AMD支持DEP功能的技术则叫EVP,EVP(Enhanced Virus Protection,增强型病毒防护)是AMD Althlon64处理器中采用的一种全新的防毒技术,其与DEP技术结合后将生成一种全新的恶意代码防御机制:将所有内存位置均标记为不可执行,除非该位置已明确包含可执行代码。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点