Windows Vista запропонувала цікаву функцію безпеки під назвою ASLR - рандомізація макета простору адрес. При цьому використовується випадкова адреса пам'яті для виконання коду, але в Windows 8, Windows 8.1 та Windows 10, здається, ця функція не завжди виконується правильно.

За словами аналітика з безпеки, у цих трьох останніх версіях Windows ASLR не використовує випадкових адрес пам'яті. Іншими словами, марно.

Як реалізувати ASLR вручну

Виконуючи код у випадковому місці, ASLR допомагає захистити від подвигів, якими ви намагаєтеся скористатися кодом, який виконується в передбачуваних або відомих адресах пам'яті.

Проблема з'являється, коли EMET або Windows Defender Exploit Guard використовуються для включення обов'язкового ASLR на загальносистемній основі.

Експерт із безпеки, який вивчав проблему, - Віл Дорман, і він пояснює все, що потрібно знати про проблему, яка виникає через запис у реєстрі.

За словами Дормана, і Windows Defender Exploit Guard, і EMET дозволяють забезпечити загальну систему ASLR, не вмикаючи також ASLR знизу вгору по всій системі.

Навіть якщо Windows Defender Exploit Guard має загальносистемний варіант для загальної системи ASLR знизу вгору, значення GUI за замовчуванням "Увімкнено за замовчуванням" не відображає базове значення реєстру.

Це призведе до того, що програми без / DYNAMICBASE переїхати без ентропії. Програми будуть переноситися на одну і ту ж адресу кожного разу через перезавантаження та в різних системах.

Рішення полягає в тому, що вам потрібно створити.reg файл із наступним текстом:

Версія редактора реєстру Windows 5.00

"Пом'якшення" = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00

Потім вам потрібно імпортувати цей файл до редактора реєстру, і все має бути розібрано.

Деякі користувачі заявляють, що проблема випливає з EMET та його заміни, що є інструментом для сисадмінів, у яких "занадто багато часу на руках", і це було припинено без заміни. Вони не вважають, що проблема полягає в базовій системі ASLR.