Data Execution Prevention

Data Execution Prevention

Das NX-Bit (No eXecute) ist die Bezeichnung einer Technik zur „Verbesserung der Sicherheit eines Computers“, die der Chiphersteller AMD mit dem Prozessor Athlon 64 für den x86-Markt einführte. Die Technik wird von AMD als „Enhanced Virus Protection“ (EVP) vermarktet.

Auch Intel verwendet in den Itanium-Prozessoren und in den neuesten Pentium-4- und Pentium-M- sowie den Core-Modellen diese Technik, allerdings unter dem Namen XD-Bit (Execute Disable).

Auch Transmeta und VIA/Centaur bieten CPUs mit NX-Bit an.

Ähnliche Techniken gibt es schon länger, etwa beim PowerPC von IBM, beim Sun SPARC und bei den Alpha-Prozessoren.

Funktionsweise

Computerwürmer basieren oft auf einem Pufferüberlauf, der ihnen ermöglicht, ihren Programmcode auf dem Zielsystem auszuführen. Der Code besteht aus Routinen zur selbstständigen Weiterverbreitung und in der Regel auch Schadensfunktionen, die Daten zerstören können. Das NX-Bit wird nun vom Betriebssystem für den Stack im Arbeitsspeicher so gesetzt, dass zwischen Daten und Code unterschieden wird. Durch diese strikte Trennung kann nun in einem als Daten markiertem Speicherbereich, zum Beispiel einem Bild, kein Code mehr ausgeführt werden. Dieser Schutz funktioniert allerdings nur mit Betriebssystemen, die Unterstützung für das NX-Bit enthalten.

Durch dieses Vorgehen wird das Von-Neumann-Prinzip, Daten und Programm in einem gemeinsamen Speicher abzulegen, teilweise gebrochen. Allerdings wird nur der Ausführung von Code in Datensegmenten (z. B. in einem Stack oder Heap) vorgebeugt. Der Pufferüberlauf an sich wird nicht unterbunden. Wenn dabei ein Sprung in eine Codepage ausgelöst wird, ist die No-Execute-Technik wirkungslos. Allerdings lässt sich trotz dieser Technik beliebiger Code beispielsweise durch ein „return into libc“ ausführen.

Vor Ganzzahlüberläufen, Programmabstürzen und DoS-Attacken schützt das NX-Bit nicht.

CPUs mit NX-Bit:

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Data Execution Prevention — (DEP) is a security feature included in modern operating systems. It is known to be available in Linux, Mac OS X, and Microsoft Windows operating systems and is intended to prevent an application or service from executing code from a non… …   Wikipedia

  • Data Execution Prevention — (DEP) (англ. Предотвращение выполнения данных)  функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволит… …   Википедия

  • Data Execution Prevention — (DEP) est un dispositif de sécurité intégré à certaines versions du système d exploitation Microsoft Windows. Il est destiné à empêcher l exécution de code depuis des blocs de mémoire censés contenir des données. Voir aussi Executable space… …   Wikipédia en Français

  • System Center Data Protection Manager — Developer(s) Microsoft Corporation Stable release DPM 2010 / April 19, 2010; 18 months ago (2010 04 19) Development status Active …   Wikipedia

  • Arc Flash Loss Prevention — AFLP Arc Flash Loss Prevention is a six step program designed to help businesses and organizations comply with Occupational Safety and Health Administration (OSHA) and National Fire Protection Association (NFPA) requirements for protecting… …   Wikipedia

  • fire prevention and control —       the prevention, detection, and extinguishment of fires, including such secondary activities as research into the causes of fire, education of the public about fire hazards, and the maintenance and improvement of fire fighting equipment.… …   Universalium

  • Buffer overflow — In computer security and programming, a buffer overflow, or buffer overrun, is an anomalous condition where a process attempts to store data beyond the boundaries of a fixed length buffer. The result is that the extra data overwrites adjacent… …   Wikipedia

  • Abkürzungen/Computer — Dies ist eine Liste technischer Abkürzungen, die im IT Bereich verwendet werden. A [nach oben] AA Antialiasing AAA authentication, authorization and accounting, siehe Triple A System AAC Advanced Audio Coding AACS …   Deutsch Wikipedia

  • Liste der Abkürzungen (Computer) — Dies ist eine Liste technischer Abkürzungen, die im IT Bereich verwendet werden. A [nach oben] AA Antialiasing AAA authentication, authorization and accounting, siehe Triple A System AAC Advanced Audio Coding AACS …   Deutsch Wikipedia

  • Security and safety features new to Windows Vista — There are a number of security and safety features new to Windows Vista, most of which are not available in any prior Microsoft Windows operating system release.Beginning in early 2002 with Microsoft s announcement of their Trustworthy Computing… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”