В Windows Vista появилась интересная функция безопасности под названием ASLR - рандомизация расположения адресного пространства. При этом для выполнения кода используется случайный адрес памяти, но в Windows 8, Windows 8.1 и Windows 10 кажется, что эта функция не всегда реализуется правильно.

По словам аналитика по безопасности, в этих трех последних версиях Windows ASLR не использует случайные адреса памяти. Другими словами, это бесполезно.

Как реализовать ASLR вручную

Выполняя код в произвольном месте, ASLR помогает защитить от эксплойтов, которые вы пытаетесь использовать в своих интересах, код, который выполняется по предсказуемым или известным адресам памяти.

Проблема возникает, когда EMET или Защитник эксплойтов Windows используется для включения обязательного ASLR в масштабе всей системы.

Эксперт по безопасности, который изучал проблему, - Уилл Дорманн, и он объясняет все, что вам нужно знать о проблеме, возникающей из-за записи в реестре.

По словам Дормана, как Защитник Windows Защитник, так и EMET обеспечивают общесистемную ASLR, не включая также общесистемную восходящую ASLR.

Даже если Защитник Windows Защитник имеет общесистемную опцию для общесистемной восходящей ASLR, значение GUI по умолчанию «Включено по умолчанию» не отражает базовое значение реестра.

Это приведет к тому, что программы без / DYNAMICBASE будут перемещаться без энтропии. Программы будут передаваться на один и тот же адрес каждый раз при перезагрузке и в разных системах.

Решение состоит в том, что вам нужно создать файл.reg со следующим текстом:

Редактор реестра Windows, версия 5.00

«MitigationOptions» = шестигранный: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Затем вы должны импортировать этот файл в редактор реестра, и все должно быть отсортировано.

Некоторые пользователи утверждают, что проблема связана с EMET и его заменой, которая является инструментом для системных администраторов, «у которых слишком много времени», и эта проблема была прекращена без замены. Они не думают, что проблема в базовой системе ASLR.