關(guān)于CPU內(nèi)嵌的防病毒技術(shù)
互聯(lián)網(wǎng) 發(fā)布時間:2009-04-21 01:31:48 作者:佚名
我要評論

可以從兩個角度對此類問題進(jìn)行解釋: 1、CPU內(nèi)嵌的防病毒技術(shù) 2、緩沖區(qū)溢出(buffer overrun)
CPU內(nèi)嵌的防病毒技術(shù):是一種硬件防病毒技術(shù),與操作系統(tǒng)相配合,可以防范大部分針對緩沖區(qū)溢出(buffer overru
可以從兩個角度對此類問題進(jìn)行解釋:
1、CPU內(nèi)嵌的防病毒技術(shù)
2、緩沖區(qū)溢出(buffer overrun)
CPU內(nèi)嵌的防病毒技術(shù):是一種硬件防病毒技術(shù),與操作系統(tǒng)相配合,可以防范大部分針對緩沖區(qū)溢出(buffer overrun)漏洞的攻擊(大部分是病毒)。Intel的防病毒技術(shù)是EDB(Excute Disable Bit),AMD的防病毒技術(shù)是EVP(Ehanced Virus Protection),但不管叫什么,它們的原理都是大同小異的。嚴(yán)格來說,目前各個CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。首先,無論是Intel的EDB還是AMD的EVP,它們都是采用硬軟結(jié)合的方式工作的,都必須搭配相關(guān)的操作系統(tǒng)和軟件才能實(shí)現(xiàn);其次,EDB和EVP都是為了防止因?yàn)閮?nèi)存緩沖區(qū)溢出而導(dǎo)致系統(tǒng)或應(yīng)用軟件崩潰的,而這內(nèi)存緩沖區(qū)溢出有可能是惡意代碼(病毒)所為,也有可能是應(yīng)用程序設(shè)計(jì)的缺陷所致(無意識的),因此我們將其稱之為“防緩沖區(qū)溢出攻擊”更為恰當(dāng)些。
在計(jì)算機(jī)內(nèi)部,等待處理的數(shù)據(jù)一般都被放在內(nèi)存的某個臨時空間里,這個臨時存放空間被稱為緩沖區(qū)(Buffer),緩沖區(qū)的長度事先已經(jīng)被程序或者操作系統(tǒng)定義好了。緩沖區(qū)溢出(buffer overrun):是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理想情況是,程序檢查數(shù)據(jù)長度并且不允許輸入超過緩沖區(qū)長度的字符串。但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的存儲空間相匹配,這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧,在各個操作進(jìn)程之間,指令被臨時存儲在堆棧當(dāng)中,堆棧也會出現(xiàn)緩沖區(qū)溢出。當(dāng)一個超長的數(shù)據(jù)進(jìn)入到緩沖區(qū)時,超出部分就會被寫入其他緩沖區(qū),其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針,或者是其他程序的輸出內(nèi)容,這些內(nèi)容都被覆蓋或者破壞掉。可見一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個程序或者操作系統(tǒng)崩潰。而更壞的結(jié)果是,如果相關(guān)數(shù)據(jù)里包含了惡意代碼,那么溢出的惡意代碼就會改寫應(yīng)用程序返回的指令,使其指向包含惡意代碼的地址被CPU編譯而執(zhí)行,而這可能發(fā)生“內(nèi)存緩沖區(qū)溢出攻擊”,“沖擊波”、“震蕩波”等蠕蟲病毒就是采用這種手段來攻擊電腦的。
緩沖區(qū)溢出是由編程錯誤引起的。如果緩沖區(qū)被寫滿,而程序沒有去檢查緩沖區(qū)邊界,也沒有停止接收數(shù)據(jù),這時緩沖區(qū)溢出就會發(fā)生。緩沖區(qū)邊界檢查被認(rèn)為是不會有收益的管理支出,計(jì)算機(jī)資源不夠或者內(nèi)存不足是編程者不編寫緩沖區(qū)邊界檢查語句的理由,然而技術(shù)的飛速發(fā)展已經(jīng)使這一理由失去了存在的基礎(chǔ),但是多數(shù)用戶日常主要應(yīng)用的程序中大多數(shù)其實(shí)仍然是十年甚至二十年前的程序代碼,并沒有檢查緩沖區(qū)邊界的功能。緩沖區(qū)溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或者病毒善于在系統(tǒng)當(dāng)中發(fā)現(xiàn)容易產(chǎn)生緩沖區(qū)溢出之處,運(yùn)行特別程序,獲得優(yōu)先級,指示計(jì)算機(jī)破壞文件,改變數(shù)據(jù),泄露敏感信息,產(chǎn)生后門訪問點(diǎn),感染或者攻擊其他計(jì)算機(jī)。對于緩沖區(qū)溢出攻擊,防毒殺毒軟件雖然也可以處理,但也只能是亡羊補(bǔ)牢,而操作系統(tǒng)和應(yīng)用軟件的漏洞又是難以預(yù)測的,隨時可能被利用,引來緩沖區(qū)溢出攻擊。在這種情況下,預(yù)防緩沖區(qū)溢出攻擊應(yīng)該從硬件層次著手,開始成為許多IT廠商的共識,于是大家俗稱的CPU硬件防病毒功能應(yīng)運(yùn)而生了。緩沖區(qū)溢出攻擊最基本的實(shí)現(xiàn)途徑是向正常情況下不包含可執(zhí)行代碼的內(nèi)存區(qū)域插入可執(zhí)行的代碼,并欺騙CPU執(zhí)行這些代碼。而如果我們在這些內(nèi)存頁面的數(shù)據(jù)區(qū)域設(shè)置某些標(biāo)志(No eXecute或eXcute Disable),當(dāng)CPU讀取數(shù)據(jù)時檢測到該內(nèi)存頁面有這些標(biāo)志時就拒絕執(zhí)行該區(qū)域的可執(zhí)行指令,從而可防止惡意代碼被執(zhí)行,這就是CPU的防緩沖區(qū)溢出攻擊實(shí)現(xiàn)的原理。
而對于開啟了EDB或EVP功能的計(jì)算機(jī)來說,一般也就可實(shí)現(xiàn)數(shù)據(jù)和代碼的分離,而在內(nèi)存某個頁面將被設(shè)置為只做數(shù)據(jù)頁,而任何企圖在其中執(zhí)行代碼的行為都將被CPU所拒絕。當(dāng)然,開啟EDB、EVP功能的CPU是無法獨(dú)立完成標(biāo)注不可執(zhí)行代碼內(nèi)存頁面以及進(jìn)行相關(guān)檢測防治工作的,它還需要相關(guān)操作系統(tǒng)和應(yīng)用程序的配合。
目前,Windows XP SP2、Windows Server 2003 SP1及64bit的Windows操作系統(tǒng)都提供了對EDB、EVP技術(shù)的支持。如果你使用的操作系統(tǒng)是Windows XP SP2,那么啟用其中的DEP(Data Execution Protection,數(shù)據(jù)執(zhí)行保護(hù))功能即可為你的電腦提供比較全面的防緩沖區(qū)溢出攻擊功能。DEP是可以獨(dú)立運(yùn)行的,并也可幫助防御某些類型的惡意代碼攻擊,但要充分利用DEP可以提供的保護(hù)功能,就需要CPU的配合了。DEP可單獨(dú)或和兼容的CPU一起將內(nèi)存的某些頁面位置標(biāo)注為不可執(zhí)行,如果某個程序嘗試從被保護(hù)的位置運(yùn)行代碼,將會被CPU拒絕同時DEP會關(guān)閉程序并通知用戶,從而在一定程度上保障用戶電腦的安全。
CPU內(nèi)嵌的防病毒技術(shù)以及操作系統(tǒng)的防病毒技術(shù)因此在目前來說可能還存在著一些兼容性的問題,例如因應(yīng)用程序設(shè)計(jì)的缺陷或驅(qū)動程序而導(dǎo)致的誤報(特別是一些比較老的驅(qū)動程序);另外,對于有些程序來說,是采用實(shí)時生成代碼方式來執(zhí)行動態(tài)代碼的,而生成的代碼就有可能位于標(biāo)記為不可執(zhí)行的內(nèi)存區(qū)域,這就有可能導(dǎo)致DEP將其檢測為非法應(yīng)用程序而將其關(guān)閉。而這些都還有賴于硬件和軟件廠商的相互配合解決,當(dāng)然,這些都是需要的時間。因此,DEP、EDB、EVP等技術(shù)都還在向前發(fā)展。
1、CPU內(nèi)嵌的防病毒技術(shù)
2、緩沖區(qū)溢出(buffer overrun)
CPU內(nèi)嵌的防病毒技術(shù):是一種硬件防病毒技術(shù),與操作系統(tǒng)相配合,可以防范大部分針對緩沖區(qū)溢出(buffer overrun)漏洞的攻擊(大部分是病毒)。Intel的防病毒技術(shù)是EDB(Excute Disable Bit),AMD的防病毒技術(shù)是EVP(Ehanced Virus Protection),但不管叫什么,它們的原理都是大同小異的。嚴(yán)格來說,目前各個CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。首先,無論是Intel的EDB還是AMD的EVP,它們都是采用硬軟結(jié)合的方式工作的,都必須搭配相關(guān)的操作系統(tǒng)和軟件才能實(shí)現(xiàn);其次,EDB和EVP都是為了防止因?yàn)閮?nèi)存緩沖區(qū)溢出而導(dǎo)致系統(tǒng)或應(yīng)用軟件崩潰的,而這內(nèi)存緩沖區(qū)溢出有可能是惡意代碼(病毒)所為,也有可能是應(yīng)用程序設(shè)計(jì)的缺陷所致(無意識的),因此我們將其稱之為“防緩沖區(qū)溢出攻擊”更為恰當(dāng)些。
在計(jì)算機(jī)內(nèi)部,等待處理的數(shù)據(jù)一般都被放在內(nèi)存的某個臨時空間里,這個臨時存放空間被稱為緩沖區(qū)(Buffer),緩沖區(qū)的長度事先已經(jīng)被程序或者操作系統(tǒng)定義好了。緩沖區(qū)溢出(buffer overrun):是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理想情況是,程序檢查數(shù)據(jù)長度并且不允許輸入超過緩沖區(qū)長度的字符串。但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的存儲空間相匹配,這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧,在各個操作進(jìn)程之間,指令被臨時存儲在堆棧當(dāng)中,堆棧也會出現(xiàn)緩沖區(qū)溢出。當(dāng)一個超長的數(shù)據(jù)進(jìn)入到緩沖區(qū)時,超出部分就會被寫入其他緩沖區(qū),其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針,或者是其他程序的輸出內(nèi)容,這些內(nèi)容都被覆蓋或者破壞掉。可見一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個程序或者操作系統(tǒng)崩潰。而更壞的結(jié)果是,如果相關(guān)數(shù)據(jù)里包含了惡意代碼,那么溢出的惡意代碼就會改寫應(yīng)用程序返回的指令,使其指向包含惡意代碼的地址被CPU編譯而執(zhí)行,而這可能發(fā)生“內(nèi)存緩沖區(qū)溢出攻擊”,“沖擊波”、“震蕩波”等蠕蟲病毒就是采用這種手段來攻擊電腦的。
緩沖區(qū)溢出是由編程錯誤引起的。如果緩沖區(qū)被寫滿,而程序沒有去檢查緩沖區(qū)邊界,也沒有停止接收數(shù)據(jù),這時緩沖區(qū)溢出就會發(fā)生。緩沖區(qū)邊界檢查被認(rèn)為是不會有收益的管理支出,計(jì)算機(jī)資源不夠或者內(nèi)存不足是編程者不編寫緩沖區(qū)邊界檢查語句的理由,然而技術(shù)的飛速發(fā)展已經(jīng)使這一理由失去了存在的基礎(chǔ),但是多數(shù)用戶日常主要應(yīng)用的程序中大多數(shù)其實(shí)仍然是十年甚至二十年前的程序代碼,并沒有檢查緩沖區(qū)邊界的功能。緩沖區(qū)溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或者病毒善于在系統(tǒng)當(dāng)中發(fā)現(xiàn)容易產(chǎn)生緩沖區(qū)溢出之處,運(yùn)行特別程序,獲得優(yōu)先級,指示計(jì)算機(jī)破壞文件,改變數(shù)據(jù),泄露敏感信息,產(chǎn)生后門訪問點(diǎn),感染或者攻擊其他計(jì)算機(jī)。對于緩沖區(qū)溢出攻擊,防毒殺毒軟件雖然也可以處理,但也只能是亡羊補(bǔ)牢,而操作系統(tǒng)和應(yīng)用軟件的漏洞又是難以預(yù)測的,隨時可能被利用,引來緩沖區(qū)溢出攻擊。在這種情況下,預(yù)防緩沖區(qū)溢出攻擊應(yīng)該從硬件層次著手,開始成為許多IT廠商的共識,于是大家俗稱的CPU硬件防病毒功能應(yīng)運(yùn)而生了。緩沖區(qū)溢出攻擊最基本的實(shí)現(xiàn)途徑是向正常情況下不包含可執(zhí)行代碼的內(nèi)存區(qū)域插入可執(zhí)行的代碼,并欺騙CPU執(zhí)行這些代碼。而如果我們在這些內(nèi)存頁面的數(shù)據(jù)區(qū)域設(shè)置某些標(biāo)志(No eXecute或eXcute Disable),當(dāng)CPU讀取數(shù)據(jù)時檢測到該內(nèi)存頁面有這些標(biāo)志時就拒絕執(zhí)行該區(qū)域的可執(zhí)行指令,從而可防止惡意代碼被執(zhí)行,這就是CPU的防緩沖區(qū)溢出攻擊實(shí)現(xiàn)的原理。
而對于開啟了EDB或EVP功能的計(jì)算機(jī)來說,一般也就可實(shí)現(xiàn)數(shù)據(jù)和代碼的分離,而在內(nèi)存某個頁面將被設(shè)置為只做數(shù)據(jù)頁,而任何企圖在其中執(zhí)行代碼的行為都將被CPU所拒絕。當(dāng)然,開啟EDB、EVP功能的CPU是無法獨(dú)立完成標(biāo)注不可執(zhí)行代碼內(nèi)存頁面以及進(jìn)行相關(guān)檢測防治工作的,它還需要相關(guān)操作系統(tǒng)和應(yīng)用程序的配合。
目前,Windows XP SP2、Windows Server 2003 SP1及64bit的Windows操作系統(tǒng)都提供了對EDB、EVP技術(shù)的支持。如果你使用的操作系統(tǒng)是Windows XP SP2,那么啟用其中的DEP(Data Execution Protection,數(shù)據(jù)執(zhí)行保護(hù))功能即可為你的電腦提供比較全面的防緩沖區(qū)溢出攻擊功能。DEP是可以獨(dú)立運(yùn)行的,并也可幫助防御某些類型的惡意代碼攻擊,但要充分利用DEP可以提供的保護(hù)功能,就需要CPU的配合了。DEP可單獨(dú)或和兼容的CPU一起將內(nèi)存的某些頁面位置標(biāo)注為不可執(zhí)行,如果某個程序嘗試從被保護(hù)的位置運(yùn)行代碼,將會被CPU拒絕同時DEP會關(guān)閉程序并通知用戶,從而在一定程度上保障用戶電腦的安全。
CPU內(nèi)嵌的防病毒技術(shù)以及操作系統(tǒng)的防病毒技術(shù)因此在目前來說可能還存在著一些兼容性的問題,例如因應(yīng)用程序設(shè)計(jì)的缺陷或驅(qū)動程序而導(dǎo)致的誤報(特別是一些比較老的驅(qū)動程序);另外,對于有些程序來說,是采用實(shí)時生成代碼方式來執(zhí)行動態(tài)代碼的,而生成的代碼就有可能位于標(biāo)記為不可執(zhí)行的內(nèi)存區(qū)域,這就有可能導(dǎo)致DEP將其檢測為非法應(yīng)用程序而將其關(guān)閉。而這些都還有賴于硬件和軟件廠商的相互配合解決,當(dāng)然,這些都是需要的時間。因此,DEP、EDB、EVP等技術(shù)都還在向前發(fā)展。
相關(guān)文章
AMD 銳龍 9 9955HX3D首測:單核多核一路領(lǐng)先
新一代筆記本正在陸續(xù)到來,HotHardware搶先拿到了一臺微星的泰坦18 Pro,簡單測試了其首發(fā)配備的AMD銳龍9 9955HX3D,展現(xiàn)了新一代X3D旗艦的威力2025-03-28游戲裝機(jī)不花冤枉錢! 銳龍5 9600X性價比完勝酷睿Ultra 7 265K
花更多的錢,是不是真的能換來更好的游戲體驗(yàn)?咱今天就來嘮嘮這個事兒,看看這錢到底該不該花,接下來我們不妨拿競品高端定位的酷睿Ultra 7 265K來和銳龍5 9600X進(jìn)行一個對2025-03-25AMD銳龍7 9700X板U套裝推薦:輕松獲得僅次于9800X3D的游戲性能
銳龍7 9700X的首發(fā)上市價格為2549元,現(xiàn)在該產(chǎn)品也大幅降價到1999元,性價比非常誘人,今天我們就來看看AMD銳龍7 9700X板U套裝推薦2025-03-17銳龍7 7800X3D實(shí)力完勝i9-14900K! 3000元內(nèi)游戲CPU推薦
在當(dāng)前3000元以內(nèi),最熱門的游戲CPU莫過于銳龍7 7800X3D和酷睿i9-14900K,那么這兩款產(chǎn)品究竟誰性價比更高呢?下面我們就來看看詳細(xì)測評2025-03-12游戲與生產(chǎn)力雙高 綜合實(shí)力最強(qiáng)! 銳龍9 9950X3D處理器首發(fā)評測
AMD終于將銳龍 9000系列的王牌產(chǎn)品——銳龍 9 9950X3D拿了出來,在搭載了超大容量的3D緩存之后,這顆處理器可以說是兼顧了游戲以及創(chuàng)作能力,同時也是消費(fèi)級銳龍 9000處理2025-03-1264位和32位CPU有什么區(qū)別? 電腦32位和62位系統(tǒng)區(qū)別介紹
在選購或使用電腦時,我們經(jīng)常會聽到“32位”和“64位”這樣的術(shù)語,那么,這兩個概念到底是什么意思?它們對計(jì)算機(jī)的性能和兼容性有什么影響?詳細(xì)請看下文介紹2025-03-07為什么主流裝機(jī)玩家都選AMD 銳龍5 9600X? 五大理由告訴你
你可能會奇怪,為什么最近Zen5架構(gòu)的銳龍9000系列桌面處理器在主流玩家群體中的口碑這么好;為什么在追求性價比搭配,期望用最少花費(fèi)實(shí)現(xiàn)盡可能好游戲體驗(yàn)的玩家群體中,AM2025-02-28有銳龍7 9700X還考慮什么酷睿i9/Ultra 9處理器? 性能級游戲裝機(jī)推薦
別看銳龍7 9700X只是一款2000元價位的產(chǎn)品,但是具備了挑戰(zhàn)競品旗艦酷睿i9-14900K和酷睿Ultra 9 285K的強(qiáng)悍實(shí)力,具體差距如何?請看下文測評2025-02-27CPU散熱你了解多少? CPU 熱節(jié)流機(jī)制的利與弊分析
CPU熱節(jié)流是指當(dāng)處理器在運(yùn)行過程中產(chǎn)生過多的熱量,達(dá)到一定的溫度閾值時,為了防止過熱和損壞,CPU會自動降低時鐘速度和性能的技術(shù),下面我們就來看看它的利弊2025-02-19- CPU 的 L1、L2 和 L3 Cache 在現(xiàn)代計(jì)算機(jī)架構(gòu)中起著關(guān)鍵作用,它們的設(shè)計(jì)、大小、位置以及讀寫速度和延遲都有顯著的差異,詳細(xì)請看下文介紹2025-02-19