Loading...

データ実行防止とバッファー オーバーフロー保護
技術的な記事 ID:   KB58554
最終更新:  2019/02/26
評価:


環境

McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 4.0

概要

VSE のデータ実行防止とバッファー オーバーフロー保護
データ実行防止 (DEP) は、プロセッサ ハードウェアに依存するオペレーティング システムの機能で、コードが実行されてはならないメモリ空間を示す属性をメモリに付けます。 実行防止 (NX (No eXecute) としても知られる) は、デフォルト ヒープ、メモリ スタック、およびメモリ プールからのコードの実行を防止します。保護は、ユーザー モードとカーネル モードの両方に適用できます。


VSE/フレームワーク サービスが同じコンピューターで実行されている場合の、DEP の注意事項
Microsoft は、実行防止 (NX) を Windows XP/SP2 および Windows 2003 Server オペレーティング システムでサポートしています。 これらのオペレーティング システムが、AMD の新しいプロセッサ K8 ファミリーおよび Intel® Itanium プロセッサ ファミリーで実行される場合、実行防止はデフォルトで有効になっています。 今後の 32 ビットおよび 64 ビット プロセッサーでも、実行防止機能が提供されると期待されています。

DEP または NX 機能では、物理アドレス拡張 (PAE) ブート スイッチが有効になっている必要があります。これにより、4 GB 以上の RAM のあるマシンで PAE サポートが有効になります。 PAE は、異なる O/S カーネル ファイルを読み込みます (シングル プロセッサでは ntkrnlpa.exe、マルチ プロセッサでは ntkrpamp.exe)。この詳細については、Microsoft サポート サイトで利用可能な最新のドキュメントを参照してください。


NX チップを使用したシステムでのバッファー オーバーフロー保護
DEP による保護と VSE バッファー オーバーフロー保護 (BOP) は、直接競合しません。 VSE は、バッファー オーバーラン エクスプロイト: 論理演算の実行と制御の取得を試みるプログラムの特定の属性を検出します。 ハードウェア DEP は、別の属性: 制御の取得と論理演算の実行を試みるプログラムを検出します。 エクスプロイトの成功は両方の属性に依存するため、どちらの方法もエクスプロイトを検出してブロックできます。特定のエクスプロイトを検出する方法は、どの属性が先に出現するかに依存します。 これは、エクスプロイトされる脆弱性の性質と、エクスプロイトに使用するテクニックによって決まります。

VSE BOP 機能の保護は、リストされたプロセスに限定されますが、DEP は限定されません。 これらの機能のいずれかを無効にする必要がある場合、McAfee は VSE BOP を無効にすることを推奨します。

DEP についての詳細は、http://support.microsoft.com/kb/875352 を参照してください。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する

影響を受ける製品