no więc tak... Address Space Layout Randomization (ASLR) to taki mały krasnal który odpowiada za przydzielanie (mniej lub bardziej losowe) pamięci wykonywanym programom. Wprowadzono toto w 2003 w OpenBSD (więc wydawałoby się że MałyMiętki miał czas się nauczyć, hłe hłe)....
Tym bardziej, że zaimplementowano toto po raz pierwszy w Win Vista (unofficial codename: Windows loser).
No ale we Viście to wymagało ŚWIADOMEGO użyszkodnika i zainstalowania EMET tudzież pociśnięcia odpowiednich opcji.
Jednakowoż, idąc z duchem czasu, postępu oraz rozwoju, MalyMiętki był uprzejmy tąże funkcję zaimplementować w W10 (Matko Bosko Częstochowsko!) domyślnie.
Dostępne via (i tu biję się w pierś cherlawą ale posługuję się anglijskojęzycznem środowiskiem więc dalsze odniesienia będą traktowały o systemie w tymże barbarzyńskim dialekcie) Windows Defender Security Center (potem to już app&browser control i dalej prosto ku Exploit protection settings, no jakżeby inaczej, na wierzchu przecież jest).
Intuicyjne, nie? anyway...
Przyczyna porażki? Emmm... prozaiczna. Błąd w rejestrze.
Dormann (przyjmijcie że jest taki gostek a nie będzie trzeba Was zakopac w ogródu
) twierdzi, że od Win 8.1 przywołanie eqnedt32.exe powoduje ZA KAZDYM RAZEM odwołanie do adresu "początkowego" 0x10000 za każdym razem.
Dla niewiernych Tomaszy: komunikat CERT jest tu:
Dla niekumatych technicznie (bez obrazy) oznacza to że od Win 8.1 EMET ASLR to... farsa, i CELOWY wektor ataku.
no dobrze, co robić, jak RZyć, mamo, mamo, jezdem chakjeram...
Step 1:
utwórzmy se sobie w notatniku plik tekstowy zawierający:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
zapiszmy se sobie ww plik jako plik z rozszedrzeniem .reg, np ASLRfix.reg
Step 2:
wyciśnijmy na klawie regedit, najlepiej jako admin
Step 3:
w menu: file, pociśnijmy se sobie: Import, i poszukajmy gdzie przewrotny notatnik był uprzejmy zapisać rzeczony plik.
Zaimportujmy i cieszmy się że (dopóki Małymiętki się obudzi) spatchowaliśmy sobie dośc poważną słabiznę Windy...
Dla leniwych, zaprzyjaźniony serwis (dzięki Catalin @ bleepingcomputer) oprawcował fixa wymagającego ściągnięcia i wykonania doubleclicka: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel] "MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
za co uprzejmie dziękując, żegnam się w ten piątkowy wieczór licząc na to, że koledzy z Rosji też poszli spać, inaczej obudzimy się bez prądu (
dobranoc
Tym bardziej, że zaimplementowano toto po raz pierwszy w Win Vista (unofficial codename: Windows loser).
No ale we Viście to wymagało ŚWIADOMEGO użyszkodnika i zainstalowania EMET tudzież pociśnięcia odpowiednich opcji.
Jednakowoż, idąc z duchem czasu, postępu oraz rozwoju, MalyMiętki był uprzejmy tąże funkcję zaimplementować w W10 (Matko Bosko Częstochowsko!) domyślnie.
Dostępne via (i tu biję się w pierś cherlawą ale posługuję się anglijskojęzycznem środowiskiem więc dalsze odniesienia będą traktowały o systemie w tymże barbarzyńskim dialekcie) Windows Defender Security Center (potem to już app&browser control i dalej prosto ku Exploit protection settings, no jakżeby inaczej, na wierzchu przecież jest).
Intuicyjne, nie? anyway...
Przyczyna porażki? Emmm... prozaiczna. Błąd w rejestrze.
Dormann (przyjmijcie że jest taki gostek a nie będzie trzeba Was zakopac w ogródu
) twierdzi, że od Win 8.1 przywołanie eqnedt32.exe powoduje ZA KAZDYM RAZEM odwołanie do adresu "początkowego" 0x10000 za każdym razem.Dla niewiernych Tomaszy: komunikat CERT jest tu:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Dla niekumatych technicznie (bez obrazy) oznacza to że od Win 8.1 EMET ASLR to... farsa, i CELOWY wektor ataku.
no dobrze, co robić, jak RZyć, mamo, mamo, jezdem chakjeram...
Step 1:
utwórzmy se sobie w notatniku plik tekstowy zawierający:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
zapiszmy se sobie ww plik jako plik z rozszedrzeniem .reg, np ASLRfix.reg
Step 2:
wyciśnijmy na klawie regedit, najlepiej jako admin
Step 3:
w menu: file, pociśnijmy se sobie: Import, i poszukajmy gdzie przewrotny notatnik był uprzejmy zapisać rzeczony plik.
Zaimportujmy i cieszmy się że (dopóki Małymiętki się obudzi) spatchowaliśmy sobie dośc poważną słabiznę Windy...
Dla leniwych, zaprzyjaźniony serwis (dzięki Catalin @ bleepingcomputer) oprawcował fixa wymagającego ściągnięcia i wykonania doubleclicka: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel] "MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
za co uprzejmie dziękując, żegnam się w ten piątkowy wieczór licząc na to, że koledzy z Rosji też poszli spać, inaczej obudzimy się bez prądu (
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
)dobranoc
