Segurança do Windows: DEP e Setdllcharacteristics

Como muitos já sabem, a partir do Windows Vista em diante, temos uma série de medidas de segurança muito interessantes para se proteger contra malware, e que você está discutindo ao longo dos últimos anos. Uma dessas medidas é DEP mais interessante, o que ajuda a evitar danos ao equipamento causados ​​por malware e outras ameaças, garantindo (mais ou menos) que a memória do sistema utilização com segurança. Se um programa tenta executar o código de memória de forma incorreta, a DEP fecha.

Normalmente DEP está ativado pelos desenvolvedores através de "NXCOMPAT" bit durante a compilação, se eles têm esse tipo de software de proteção (e se eles são claramente compatível). Podemos ver com PeStudio por exemplo. Mas pode acontecer que os desenvolvedores tem certeza de virar software DEP, ou o que também é muito provável que não têm a menor idéia de quem são essas três letras ...

Em casos como o mencionado, se sabemos que o programa pode ser compatível com DEP, mas não ativado, podemos usar a força de activação disse pouco. Para fazer isso, temos várias possibilidades para ir de modificar o binário com um editor hexadecimal, para usar alguma ferramenta automatizada para executar esta tarefa. Uma dessas ferramentas é setdllcharacteristics, Didier Stevens:

http://blog.didierstevens.com/2010/10/17/setdllcharacteristics/

Setdllcharacteristics é escrito em C, e permitirá que você ativar DEP (ASLR e como veremos outro dia):

Você pode baixar a ferramenta a partir do seguinte link:

setdllcharacteristics_v0_0_0_1.zip

Seu uso é muito simples, e apenas jogá-lo a partir de um console com + n parâmetros de ativação (DEP) ou + d (ativação ASLR)

setdllcharacteristics + n + d program.exe

Nós finalmente deixou o hash da aplicação, se os descargáis você um local diferente do autor:

MD5: F96358BF90AA4D8C6B32968B2068BFCB