BufferShield или PaX на NT

Пакет BufferShield – это достойный конкурент штатному DEP, не требующий установки SP2, работающий без аппаратной поддержки со стороны процессора, использующий рандомизацию раскладки адресного пространства и задействующий NX/XDбиты, если они есть. Он значительно превосходит DEP по защищенности и атаковать его очень сложно (тем не менее некоторые лазейки все-таки есть, в частности, из-за отсутствия GOT рандомизация выполняется не полностью, оставляя в памяти значительное количество предсказуемых адресов).

Защищать можно как отдельные приложения (например, пресловутый Internet Explorer), так и определенный диапазон памяти внутри конкретного приложения. Так же поддерживаются и многопроцессорные системы (правда, только для «однополых» процессоров, то есть если один процессор имеет поддержку NX/XD-битов, а другой нет, NX/XD-биты остаются незадействованными для всех процессоров).

Короче говоря, BufferShield реализует те же самые возможности, что и пакет PaX, фактически являясь его портом на NT. Однако в отличие от бесплатного PaX BufferShield распространяется на коммерческой основе, а для ознакомления предлагается только 30-дневная пробная версия: http://www.sys-manage.com/sites/D_BuffShld.html.

Рисунок 14. Окно настройки BufferShiled

Основные свойства продукта:

n  распознает выполнение кода на стеке, куче, виртуальной памяти и сегменте данных;

n  запрашивает подтверждение на завершение, если обнаружено переполнение буфера;

n  ведет отчет обнаруженных переполнений в протоколе событий (Windows event log);

n  позволяет включать защиту даже для отдельных частей выбранных приложений (!!!);

n  поддерживает NX-бит и задействует его, если доступен (но может работает и без него);

n  поддерживает симметричные многопроцессорные системы (SMP) с однополыми ЦП;

n  рандомизует раскладку адресного пространства (технология ASLR).

Глоссарий

1. ASLR (Address Space Layout Randomization – рандомизация раскладки адресного пространства): мощная технология защиты против shell-кода, основанная на непредсказуемом изменении адресов системных функций, расположения стека, используется в пакете PaX и Exec Shield, но только не в DEP: http://en.wikipedia.org/wiki/ASLR.