Aparecerá un cuadro de diálogo cuando enciendas tu computadora.

Descripción general

Microsoft Windows XP Service Pack 2 utiliza la nueva función de Prevención de ejecución de datos (DEP) para prohibir la ejecución de datos en la página cuando se intenta. para ejecutar código en la página de datos marcada, se produce una excepción inmediatamente y la ejecución del código se bloquea. Esto evita que un atacante use código para desbordar el búfer de datos y luego ejecutar el código. La prevención (DEP) es una característica del procesador compatible con el Service Pack 2 (SP2) de Microsoft Windows XP que prohíbe la ejecución de código en áreas de memoria marcadas como almacenes de datos, lo que se conoce como "no ejecución" y "protección de ejecución". en una página de datos marcada, se produce una excepción inmediatamente y se prohíbe la ejecución de código. Esto evita que un atacante use código para desbordar el búfer de datos.

Más información

Ejecución de datos. La prevención (DEP) ayuda a evitar que los virus y otras amenazas a la seguridad causen daños en formas que solo Windows y otros programas pueden ejecutar. Ejecutar código malicioso utilizando una ubicación de memoria. Esta amenaza causa daños al apoderarse de una ubicación de memoria utilizada por uno o más programas. luego propaga y corrompe otros programas, archivos e incluso su información de contacto de correo electrónico.

A diferencia de un firewall o un programa antivirus, DEP no puede evitar que se instalen programas dañinos en su computadora. Sin embargo, monitorea sus programas para determinarlos. si están utilizando la memoria del sistema de forma segura. Por esta razón, el software DEP marca algunas ubicaciones de memoria como "no ejecutables" individualmente o junto con microprocesadores compatibles. Si un programa intenta ejecutar código desde una ubicación protegida, DEP cerrará el sistema. programa y le notificará, incluso si el código no es malicioso. Haga esto

DEP en versiones de 64 bits de Windows

Las versiones de 64 bits de Windows en procesadores de 64 bits pueden. ejecute programas en modo de 64 bits independientemente de la arquitectura del procesador, la versión de Windows de 64 bits del DEP en modo kernel se aplica a la pila, al grupo paginado y al grupo de sesiones.

DEP está habilitado de forma predeterminada en Windows XP. SP2 y no se puede desactivar. Las aplicaciones de 64 bits no se ejecutarán desde la pila ni desde el montón de procesos predeterminado. Para aplicaciones que necesitan asignar memoria ejecutable, puede usar VirtualAlloc() con ciertos atributos de memoria PAGE_EXECUTE* para ejecutar.

¿DEP en versiones de Windows de 32 bits? DEP en modo de usuario

En un futuro próximo, muchas computadoras que ejecutan Windows y programas compatibles con Windows utilizarán procesadores de 32 bits que ejecutan versiones de 32 bits de Windows. Sin embargo, los nuevos procesadores como AMD Opteron y Athlon-64 admiten modos operativos de 32 y 64 bits. (El modo operativo de 32 bits es el modo heredado; el modo operativo de 64 bits es el modo nativo.

)

Los nuevos procesadores que admiten modos operativos de 32 y 64 bits pueden ejecutarse en sistemas operativos de 32 bits y entornos de aplicaciones de 32 bits, y cuando el modo de extensión de dirección física (PAE) está habilitado, pueden Utilice DEP.

Exploraremos formas de deshabilitar o habilitar DEP para cada aplicación de 32 bits individualmente. Para aplicaciones de 64 bits, DEP está habilitado de forma predeterminada. Las excepciones DEP harán que aparezca el código de estado status_access_violation (0xc 0000005) en los sistemas Windows. En la mayoría de los procesos, se trata de una excepción no controlada que hace que el proceso finalice.

DEP en modo kernel

DEP funciona de la misma manera para el modo usuario y el modo kernel. En modo kernel, la región de memoria DEP no se puede habilitar ni deshabilitar por controlador. De forma predeterminada, en las versiones de Windows de 32 bits, DEP solo funciona en pilas. En las versiones de Windows de 64 bits, DEP funciona en la pila, el grupo paginado y el grupo de sesiones. Una infracción de acceso en modo kernel da como resultado una comprobación de error 0x 000000 fc:tryed_execute_of_non-execute_memory.

Problemas de compatibilidad

Pueden ocurrir problemas de compatibilidad con DEP en aplicaciones y controladores. ? Compatibilidad de aplicaciones

Algunos comportamientos de aplicaciones pueden ser incompatibles con DEP. Puede haber problemas de compatibilidad entre DEP y las aplicaciones que realizan generación de código dinámico (como la generación de código en tiempo real) y aquellas que no marcan explícitamente el código generado con permisos de ejecución.

Las aplicaciones que intenten violar el DEP obtendrán una excepción con el código de estado status_access_violation (0xc 0000005). Si su aplicación requiere memoria ejecutable, debe establecer explícitamente esta propiedad en la memoria correspondiente especificando PAGE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_READWRITE o PAGE_EXECUTE_WRITECOPY en el parámetro de protección de memoria de la función de asignación de memoria virtual *.

Para obtener más información, consulte el siguiente artículo de MSDN:

/security/product info/xpsp 2/memory proteccion/exec _ imp . ( /security/product info/xpsp 2/memory proteccion/exec _ imp . aspx)

Compatibilidad del controlador

El problema de compatibilidad entre el controlador y DEP se refiere principalmente a la compatibilidad causada por la pregunta del modo PAE. El propio DEP puede tener problemas de compatibilidad con controladores que generan código o que utilizan otros métodos para generar código ejecutable sobre la marcha. Habilite siempre la compatibilidad con DEP para los controladores cargados en versiones de Windows de 64 bits. Aunque es posible que muchos controladores que crean código ejecutable se hayan corregido en Windows XP SP2, no hay garantía de que todos los controladores se hayan actualizado.

Sin embargo, dado que pocos controladores utilizan estos métodos, DEP en sí no causa muchos problemas de compatibilidad de controladores. La mayoría de los problemas de compatibilidad de controladores están relacionados con la ejecución del modo PAE en sistemas de 32 bits. Es posible que algunos controladores no se carguen si el modo PAE está habilitado porque es posible que el dispositivo no sea direccionable de 64 bits o que el controlador crea que el modo PAE requiere más de 4 GB de RAM. Estos controladores piensan que cuando están en modo PAE siempre recibirán una dirección de 64 bits y asumen que ellos (o su dispositivo) no pueden interpretar esa dirección.

Otros controladores pueden modificar directamente las entradas de la tabla de páginas del sistema para cargar en modo PAE, pero esto provocará inestabilidad en el sistema. Estos controladores requieren entradas de tabla de páginas de 32 bits, pero reciben entradas de tabla de páginas de 64 bits en modo PAE. Los mayores problemas de compatibilidad entre los controladores y PAE se relacionan con las transferencias de acceso directo a la memoria (DMA) y la asignación de registros mapeados.

Muchos dispositivos habilitados para DMA (generalmente adaptadores de 32 bits) no admiten direccionamiento físico de 64 bits. Cuando el dispositivo funciona en modo de 32 bits, puede direccionar todo el espacio de direcciones físicas.

En modo PAE los datos se pueden ubicar en direcciones físicas superiores a 4 GB. En este caso, para que los dispositivos con estas limitaciones funcionen correctamente, Windows XP SP2 proporciona doble almacenamiento en búfer para transacciones DMA al proporcionar una dirección de 32 bits indicada por un registro de mapa. El dispositivo puede realizar una transacción DMA a una dirección de 32 bits y el kernel copia la memoria a la dirección de 64 bits proporcionada al controlador.

Cuando el sistema se ejecuta con PAE desactivado, los controladores para dispositivos de 32 bits no requieren ninguna memoria real para admitir sus registros mapeados. Esto significa que no hay necesidad de doble buffer ya que todos los dispositivos y controladores están contenidos en el espacio de direcciones de 32 bits. Según las pruebas de controladores de dispositivos de 32 bits en computadoras basadas en x86 y x64, la mayoría de los controladores probados por clientes que admiten DMA requieren registros asignados sin restricciones.

Para limitar los problemas de compatibilidad, Windows XP SP2 cambió la capa de abstracción de hardware (HAL) para simular el comportamiento de HAL DMA de 32 bits. El HAL modificado permite que el sistema tenga registros de mapas ilimitados cuando se ejecuta en modo PAE. Además, el administrador de memoria del kernel ignora cualquier dirección física mayor a 4 GB.

Como resultado de estos cambios en HAL y el administrador de memoria, esperamos que los problemas de compatibilidad de controladores de dispositivos se minimicen en sistemas que ejecutan Windows XP SP2 y admiten DEP.

Comentarios del desarrollador

Las aplicaciones que requieren un área de memoria ejecutable deben usar el atributo PAGE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_READWRITE o PAGE_EXECUTE_WRITECOPY al asignar memoria. Además, las aplicaciones no pueden ejecutarse desde el montón o pila de procesos predeterminados.

La mayoría de las aplicaciones que realizan operaciones que son incompatibles con DEP deben actualizarse para seguir siendo compatibles con DEP. Si una aplicación asigna memoria ejecutable desde el montón privado, debe asegurarse de que el indicador de ejecución esté configurado en la memoria del montón. Las aplicaciones pueden utilizar la interfaz de programación de aplicaciones (API) VirtualAlloc para asignar memoria con la configuración de protección adecuada.

Si la aplicación no asigna memoria ejecutable del montón privado, se debe modificar para que asigne memoria ejecutable del montón privado. Las aplicaciones deben usar la API VirtualAlloc para crear este montón y al menos especificar el indicador EXECUTE para esta memoria. Cualquier código generado debe colocarse en el montón de ejecutables.

Después de generar el código ejecutable, le recomendamos que configure la protección de la memoria de su aplicación para evitar el acceso de escritura al montón a través de la API VirtualProtect. Esta medida proporcionará más protección para la región ejecutable en el espacio de direcciones del proceso.

Configuración y solución de problemas

Los síntomas de falla relacionados con el soporte de Prevención de ejecución de datos incluyen violaciones de acceso en aplicaciones que intentan ejecutarse desde la memoria cuando DEP está habilitado. En este caso aparecerá un cuadro de diálogo indicando que la aplicación tiene un error debido a DEP. Este cuadro de diálogo contiene un mensaje similar al siguiente:

Prevención de ejecución de datos

Seguridad de Windows detectó un problema y cerró el programa.

Nombre: Nombre de la aplicación

Editor: Editor de la aplicación.

La Prevención de ejecución de datos ayuda a proteger contra virus y otras amenazas a la seguridad. ¿Cómo funciona?

(Seguido de los botones "Avanzado" y "Aceptar").

Si DEP es la causa del error de la aplicación, se recomienda que se comunique con el proveedor de la aplicación para determinar si Hay una actualización para que la aplicación pueda ejecutarse correctamente con DEP habilitado. Para resolver estos problemas, le recomendamos que instale esta actualización.

Después de hacer clic en Aceptar, aparecerá un mensaje de informe de errores estándar de Windows con la opción de enviar un informe de errores. También puedes ver qué información se recopila haciendo clic aquí.

Después de hacer clic en el enlace "Haga clic aquí" en la interfaz de informe de errores, aparecerá la interfaz de detalles.

En la sección "Firma de error" de los datos, puede verificar si este error se identifica como "Tipo de evento: BEX". BEX representa errores relacionados con DEP.

Esta interfaz también proporciona otra información, que proviene principalmente de algunos parámetros anormales: datos de parámetros.

1 Nombre de la aplicación

2 Versión de la aplicación

3 Marca de tiempo de la aplicación

4 Nombre del módulo

5 versión del módulo

Marca de tiempo de 6 módulos

Desplazamiento de 7 módulos

8 código de excepción (c0000005=infracción de acceso, c0000409=desbordamiento de búfer)

En el interfaz inicial, también puede hacer clic en Avanzado para acceder a los ajustes de configuración de DEP. Puede utilizar esta configuración para agregar excepciones para aplicaciones con errores.

El cuadro de diálogo "Prevención de ejecución de datos" proporciona las siguientes tres opciones:? Activar DEP para todos los programas (recomendado)

Desactivar DEP (no recomendado)

Ayuda a proteger todos los programas excepto:

Al seleccionar una de estas opciones, Puede excluir una o más aplicaciones o configurar los ajustes de DEP para toda la computadora. Si configura la opción "Desactivar DEP", el interruptor se agregará al archivo de configuración boot.ini de la instalación de Windows que se está ejecutando actualmente. Los modificadores boot.ini son los siguientes:? /no ejecutar: este es el parámetro predeterminado. Habilite DEP.

/execute - desactiva DEP.

Nota: Se recomienda no desactivar DEP globalmente. Esto dejará la computadora en un estado inseguro.

También puede acceder a estas configuraciones de DEP en Propiedades del sistema.

Si su aplicación no está actualizada, siga estos pasos para acceder y configurar los ajustes de configuración de DEP: 1. Cuando se produzca un error en la aplicación, haga clic en Avanzado.

2. En el cuadro de diálogo Prevención de ejecución de datos, seleccione Ayudar a proteger todos los programas excepto:.

3. Haga clic en la casilla de verificación junto a la aplicación y luego haga clic en Aplicar <. /p>

4. En este momento, aparecerá un mensaje que le indicará que debe reiniciar el sistema.

5. Haga clic en Aceptar nuevamente y luego reinicie el sistema. >También puede realizar este procedimiento en Propiedades del sistema: 1. Haga clic en Inicio, luego haga clic en Panel de control

2. En la vista Clásica, haga doble clic en Sistema p>

3. , haga clic en Rendimiento y luego haga clic en Configuración.

4. En el cuadro de diálogo Opciones de rendimiento, haga clic en la pestaña Prevención de ejecución de datos.

5. excepto los que selecciono:" y haga clic en "Agregar"

6. En el cuadro de diálogo "Abrir", busque y seleccione la aplicación y haga clic en Abrir.

7. Haga clic en Aplicar y luego haga clic en Aceptar. Aparecerá un mensaje informándole que debe reiniciar el sistema antes de que se aplique la configuración. Haga clic en "Aceptar". DEP) Para implementar esta función, debe utilizar un procesador que admita la función DEP, como AMD Athlon64 y procesadores Intel Pentium4 con la letra "J". puede evitar eficazmente que programas no autorizados accedan a áreas de memoria protegidas. Una vez que se produce dicho acceso a la memoria, Windows forzará el apagado para proteger la seguridad del sistema.

Sin embargo, para las primeras aplicaciones, la función DEP puede. tiene problemas de compatibilidad, lo que puede provocar que la aplicación no se ejecute o que el sistema falle. En este momento, si desea continuar usando la aplicación normalmente, puede desactivar la función DEP de Win XP SP2. de la siguiente manera:

Abra el archivo INI y edítelo, ejecútelo", guarde y reinicie el sistema. En este momento, la función DEP en el sistema se ha desactivado.

Por ejemplo, el archivo Boot.ini tiene este aspecto:

[Bootloader]

Timeout=30

Default=Multiple ( 0)Disco(0)rdisco(0)Partición(1)\WINDOWS

[Sistema operativo]

Múltiples (0)Disco(0)rdisco(0)Partición(1) )\ WINDOWS = "Microsoft WINDOWS XP Home Edition"/noexecute=optin /fastdetect

Después de la modificación, la última línea se convierte en:

Múltiples (0) discos (0) rdisk (0 )Partición(1)\ WINDOWS = "Microsoft WINDOWS XP Home Edition"/ejecutar /fastdetect