Windows7下的DEP的安全机制及应用软件的解析

注意：本文的版权属于IT专家网络，请勿擅自转载！

DEP（数据执行保护）代表“数据执行保护”，它是Windows的一种安全机制，主要用于防止病毒和其他安全威胁损坏系统。 Microsoft从Windows XP SP2引入了该技术，并将其延续到Windows Server 200 3、 Windows Server2008。无一例外，DEP也作为Windows 7中的安全性机制被引入。本文将分析Windows 7下的DEP。

1、 DEP安全机制

可以说溢出是操作系统（应用程序软件）永恒的痛苦，Windows 7自然也不例外。所谓的溢出主要是指缓冲区溢出，即利用系统（应用软件）漏洞从内存位置执行恶意代码，只有Windows和其他程序才能使用这些漏洞来实现控制系统的目的。如前所述，缓冲区溢出***通常将可执行的恶意代码写入其他程序的内存缓冲区中，然后诱使该程序执行该恶意代码。使用DEP的目的是防止执行恶意插入的代码。操作机制是Windows使用DEP将仅包含数据的内存位置标记为不可执行（NX）。当应用程序尝试从标记为NX的内存位置执行代码时，Windows的DEP逻辑将阻止应用程序执行此操作，从而防止系统溢出。

2、 DEP实现方法

Microsoft DEP以两种方式实现，即硬件增强的DEP和软件增强的DEP。硬件强制使用DEP，这需要处理器的支持，但是现在大多数处理器都支持DEP。该软件强制执行DEP，DEP由Windows操作系统自动添加的一组特殊指针提供，用于系统内存中的已保存数据对象。我怎么知道我的处理器是否支持DEP？右键单击桌面上的“计算机”图标，选择“属性”，然后在打开的“系统”窗口中单击“高级系统设置”链接以打开“系统属性”面板。单击“高级”选项卡页面上“性能”下的“设置”，以打开“性能选项”面板。单击“数据执行保护”选项卡，在此页面上，我们可以确认计算机的处理器是否支持DEP。如果支持，则会显示“您的计算机处理器支持基于硬件的DEP”。在底行上，否则将显示“您的计算机处理器不支持基于硬件的DEP。但是，Windows可以使用DEP软件来防止某些类型的***。” （图片1)

3、 DEP运行级别

在Windows 7中，默认情况下激活DEP。但是，DEP无法保护系统中所有正在运行的应用程序。 DEP可以保护的程序的实际列表由DEP的保护级别定义。 DEP支持两个保护级别：级别1，仅保护Windows系统代码和可执行文件，不保护系统中运行的其他Microsoft或第三方应用程序；级别2，它保护系统中运行的所有可执行代码，包括Windows系统代码和Microsoft或第三方应用程序。默认情况下，Windows 7的DEP在1级保护状态下运行。在“数据执行保护”配置面板中，我们

可以设置DEP的保护级别。如图所示，作者的Windows 7默认为“仅激活基本Windows程序和服务的DEP”，即DEP保护级别为1。当然，我们还可以选择“为所有程序和服务打开DEP，但下面选择的那些”切换到DEP保护级别2。

在保护级别2，您可以选择不受DEP保护的特定应用程序。在实际应用中，此功能非常重要，因为激活DEP时某些旧应用无法正常运行。例如，当我们使用Word进行文本编辑时，它将自动从DEP保护中排除。请注意，在将DEP保护切换到2级之前，必须运行应用程序兼容性测试，以确保激活DEP时所有应用程序都能正常运行。要从DEP中排除应用程序，您需要使用DEP配置页面上的“添加”按钮将应用程序的可执行文件添加到排除列表中。

（图片2)

除上述方法外，我们还可以使用工具将应用程序从DEP保护中排除。此工具是DisableNX，它是Microsoft应用程序兼容性工具包中的工具。该套件的最新版本是5. 5。您可以从Microsoft官方网站下载它。下载地址为：。此工具的使用相对简单，您可以按照命令来帮助完成故障排除操作。

4、检查应用程序是否受DEP保护

在Windows 7中，我们如何知道应用程序是否受DEP保护？实际上，我们可以通过任务管理器查看我们想知道的信息。但是，Windows 7的任务管理器默认情况下不显示应用程序的DEP列，您需要手动将其调出。右键单击任务栏，然后选择“启动任务管理器”，在Windows任务管理器窗口中单击“查看”菜单，然后选择“选择列”，然后从“选择进程”页面列“项目”中查找并选中“数据执行保护”这将在任务管理器中添加“数据执行保护”列，在下面我们可以看到进程的DEP状态（启用或禁用）作者为Windows 7系统选择了级别1。进程已启用DEP保护，而非系统进程（例如“ WinRar”）的DEP状态为“已禁用”。但是，我想在这里进行解释：尽管有一些非系统应用程序，但它们的DEP状态为“启用”（对于例如在作者系统中运行的“ Windows 7 Optimization Master”），因为这些应用程序将在安装过程中安装。已创建并注册为系统服务，因此它也是Windows中的系统过程，当然还有DEP保护将被执行。（图片3)

5、如何关闭DEP保护

应该提醒您，当DEP运行在保护级别2时，所有DEP检查都需要在处理器和系统内存上运行，这将影响系统性能并降低系统运行速度。因此，在某些情况下，我们可以考虑完全关闭DEP保护。我们知道在DEP设置面板中没有关闭DEP的选项。如何关闭它？如果它是Vista之前的系统，则可以通过修改Boot.ini文件并向其添加NoExecute = Always0ff语句来关闭它。在Windows Vista，Windows Server 2008和Windows 7中，boot.ini文件已替换为引导配置数据（引导配置数据）或BCD文件，但是我们可以使用Microsoft提供的命令行工具bcdedit.exe来编辑BCD文件。

我们在命令提示符下运行不带任何参数的bcedit命令，您可以看到当前的启动配置。如图所示，显示在Windows 7下运行bcdedit的结果。最后一行显示nx OptIn，这意味着当前DEP保护级别为1。如果显示为OptOut，则意味着当前EDP保护级别为2。如果要关闭EDP，只需将nx设置为Always0ff。在命令行下执行命令“ bcdedit / set nx alwaysoff”，重新启动系统后，Windows 7的EDP将关闭。相反，如果要为所有服务和应用程序启用DEP，请执行命令“ bcdedit / set nx alwayson”。 （图片4)

摘要：实际上，DEP部署了万能药来解决Windows系统的缓冲区溢出问题。其意义在于使恶意软件难以利用缓冲区溢出。而且DEP提供的缓冲区溢出保护也有一定的副作用，即被DEP阻止的应用程序通常会被挂起，即使DEP阻止恶意程序执行恶意代码，这种情况也是由恶意程序启动造成的DOS ***新机遇。最后，让我解释一下，尽管本文以Windows 7为例对DEP进行分析，但大多数分析也适用于Windows Vista和Windows Server2008。希望本文能帮助您了解EDP并了解Windows的安全性机制。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-377104-1.html