病毒显得愈发复杂,用于对抗病毒的安全功能也显得愈加复杂。内核模式硬件强制堆栈保护是Windows11中的另一种中级防御举措。
堆栈缓冲区溢出速成课程
在了解硬件强制堆栈保护的作用之前,您必须了解哪些是堆栈缓冲区溢出功击,由于这就是它企图防范的内容。在您把握这一点之前,您须要了解堆栈的含意。
简而言之,堆栈是指活动程序正在使用的显存地址。每位正在运行的进程或应用程序都分配有一个堆栈,包括系统进程。数据在此堆栈中写入和读取,与使用显存的其他进程保持分离。
但有时会出现问题,程序会溢出其划定的堆栈。这称为堆栈溢出错误,当进程尝试读取不适宜它的数据时,可能会造成各类奇怪的行为。
哪些是堆栈缓冲区溢出功击?
到目前为止,我们早已在乎外错误的背景下讨论了堆栈溢出。但这些现象也可以被故意借助,通过向程序和流程提供意外的输入来控制它们。
这些显存功击(亦称为面向返回编程或ROP功击)对于程序来说相当无法测量,由于它读取指令的显存本身就遭到了损害。非常是假如相关程序是核心系统进程,不能依赖任何其他低级程序来验证自身。
这促使堆栈缓冲区溢出功击成为一种十分危险的网路恐吓。一个被一波新病毒借助。
解决方案:内核模式硬件强制堆栈保护
我们早已讨论过,因为系统进程缺少用于比较自身的低级基线,因而它们与普通应用程序一样容易遭到堆栈缓冲区溢出功击。但假如我们可以在底层硬件本身构建基线呢?
这正是内核模式硬件强制堆栈保护的作用。使用虚拟化,CPU与计算机上正在运行的应用程序和进程隔离,因而避免通过显存操作进行任何篡改。
这是由于堆栈地址也保存在并行影子堆栈中,该堆栈不会曝露给PC的其余部份。每次内核模式进程(基本上是低级系统函数)读取信息时红旗linux,就会使用影子堆栈中储存的副本来确认地址。假如有任何差别,该过程将中止。
在PC上运行硬件强制堆栈保护有什么要求?
作为具有特定硬件依赖性的低级功能,这些提高的堆栈保护具有很高的硬件要求。只有支持最新CPU虚拟化功能的处理器能够施行此安全举措。
对于Intel来说,这意味着控制流强制技术(CET),而AMD则简单地将其称为AMD影子堆栈。虽然您的处理器确实支持该功能,也必须启用CPU虚拟化和显存完整性能够使其生效。
但请记住,与虚拟化相关的安全功能也可能对计算机的性能形成轻微影响。这就是为何这种功能一般不会默认启用的主要诱因。
假如内核模式硬件强制堆栈保护关掉如何办?
您的PC上禁用内核模式硬件强制堆栈保护的缘由有好多。您的处理器可能不支持该功能,或则可能只须要自动激活。
但在您找到该选项并尝试启用它之前,请花点时间考虑是否须要这样做。由于对于大多数用户来说,核心隔离和相关的安全功能可能是何必要的。
MicrosoftWindowsDefender可有效处理普通病毒和恶意软件。除非您的系统包含可能成为专门黑客专门针对的敏感数据,否则您的PC上实际上不须要堆栈保护。
但假若您确实想启用该功能,请按以下步骤操作:
首先,您须要打开“设备安全”窗口。您可以通过导航到“设置”>“隐私和安全”>“Windows安全”linux 栈溢出攻击原理linux 栈溢出攻击原理,之后单击“设备安全”选项,或则仅在“开始”菜单中搜索它来执行此操作。
设备安全性列举了设备上所有与硬件相关的安全功能,比如核心隔离、可信平台模块(TPM)和安全启动。硬件强制堆栈保护功能是核心隔离的子集。要查看它,请单击“核心隔离详尽信息”选项。
如今,您在此窗口中听到的内容会依照系统的硬件配置而有所不同。在根本不支持硬件强制堆栈保护的PC上,您将看不到任何选项(如同在我们的测试系统中一样)。
假若您看见该选项但它呈红色,您只需在BIOS中启用虚拟化并启用显存完整性即可。完成此操作后,您可以打开内核模式硬件强制堆栈保护。重新启动您的笔记本,修改都会生效。
有时linux操作系统版本,该功能会被不兼容的驱动程序制止,此时您可以删掉更新的驱动程序。虽然在过去的几次更新以后这个问题早已显得不这么常见了。
在Windows11中内核模式硬件强制堆栈保护值得吗?
Windows11配备了大量中级安全功能,借以制止最专业的黑客尝试。大多数这种功能(比如TPM或安全启动)在受支持的系统上默认启用。
但内核模式硬件强制堆栈保护不同。因为它会对性能形成轻微影响,但是对于大多数系统来说并不是必需的,因而必须自动启用它。更不用说该功能对硬件的要求更严格,这与TPM不同,虽然在较旧的芯片上,TPM也几乎是通用的。
因而,倘若您在设备安全窗口中看见该选项并害怕低级病毒功击,则可以启用硬件强制堆栈保护以确保完美的安全性。假如性能影响显得显著,您可以随时再度禁用它。
