Data Execution Prevention (DEP) aktivieren

**himitsu**

Und hast du dich evtl. auch schon bezüglich

ASLR auf die suche gemacht?

Hier ist vorallem "schön", daß A) viele DLL-Ersteller (auch in Delphi) die Standard-ImageBase belassen
und b) selbst viele windowseigene DLLs den selben Adressraum belegen.

Kein Wunder daß da viele DLLs verschoben werden müssen und dadurch auch nicht unbedingt immer am selben Platz liegen

**Christian Seehase**

Zitat von himitsu:

Kein Wunder daß da viele DLLs verschoben werden müssen und dadurch auch nicht unbedingt immer am selben Platz liegen

Der Vorteil ist aber, dass so manches Schadprogramm vor die Wand läuft, da es sich, gerade bei System-DLLs, auf bestimmte Adressen verlässt.

**himitsu**

Der Code-Speicher dürfte doch als CopyOnWrite definiert sein ... wenn sich da alles Verschiebt, müssen überall die Adressen geändert werden und dann hätte jeder Prozess seine eigene DLL-Version.

Bei vielen DLLs läppert sich das und Speicher muß man doch nicht unbedingt verschwenden.

Und dieses ASLR würde das dann noch verschlimmern.

Wird das eigentlich auf alle DLLs angewendet oder läßt sich dieses nur auch "wichtige" DLLs beschränken?

Aber notfalls läßt sich das auch bei dynamisch geladene DLLs selber etwas machen oder man bastelt sich selber einen EXE/DLL-Loader (sowas wie bei UPX) und das würde dann auch unter XP und Co. laufen.

**Fridolin Walther**

Zitat von himitsu:

Der Code-Speicher dürfte doch als CopyOnWrite definiert sein ... wenn sich da alles Verschiebt, müssen überall die Adressen geändert werden und dann hätte jeder Prozess seine eigene DLL-Version.

Nunja, ganz so dramatisch ist es dann doch nicht. ASLR legt die neuen Image Bases letztlich nicht pro Prozess sondern pro Reboot fest. Bedeutet innerhalb der selben Sitzung haben alle DLLs die selben Image Bases. Erst nach einem Reboot wird wieder durcheinander gewuerfelt.

**HeikoAdams**

So, ich habe meine Funktion mit Hilfe der JclSysInfo ein wenig überarbeitet:

zusammenfalten · markieren

Delphi-Quellcode:

			function ActiveDEP: Cardinal;

const

  OptIn: Byte = 2;

  OptOut: Byte = 3;

  PROCESS_DEP_ENABLE = 1;

var

  Info: TOSVersionInfoEx;

  SetProcessDEPPolicy: function(dwFlags: dword): Boolean; stdcall;

  GetSystemDEPPolicy: function: Word; stdcall;

  nStatus: Word;

  h: HINST;

  bVerOK: Boolean;

begin

  Result := S_FALSE;

  ZeroMemory(@Info, SizeOf(TOSVersionInfo));

  Info.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);

  // Wir benötigen mind. Windows XP SP >= 3, Windows Vista SP >= 2 oder Windows 7

  if GetVersionEx(Info) then

    bVerOK := ((Info.dwMajorVersion = 5) and (Info.dwMinorVersion = 1) and (Info.wServicePackMajor >= 3))

      or ((Info.dwMajorVersion = 6) and (Info.dwMinorVersion = 0) and (info.wServicePackMajor >= 2))

      or ((Info.dwMajorVersion >= 6) and (Info.dwMinorVersion > 0))

  else

    bVerOK := FalsE;

  if bVerOK then

  begin

    // Beim Windows Server ist die System-Policy standardmäßig "Opt Out", beim Windows Client "Opt In"

    if (Info.wProductType in [VER_NT_SERVER, VER_NT_DOMAIN_CONTROLLER]) then

      nStatus := OptOut

    else

      nStatus := OptIn;

    // Den aktuellen systemweiten Status der Datenausführungsverhinderung (DEP) abfragen      

    h := SafeLoadLibrary('Kernel32.dll', SEM_NOOPENFILEERRORBOX);

    if Succeeded(h) then

    begin

      @GetSystemDEPPolicy := GetProcAddress(h, 'GetSystemDEPPolicy');

      FreeLibrary(h);

      nStatus := GetSystemDEPPolicy();

    end;

    // Wenn die System-Policy auf OptIn steht, dann kann DEP für den aktuelle Prozess aktviert werden

    if (nStatus = OptIn) then

    begin

      h := SafeLoadLibrary('Kernel32.dll', SEM_NOOPENFILEERRORBOX);

      if Succeeded(h) then

      begin

        @SetProcessDEPPolicy := GetProcAddress(h, 'SetProcessDEPPolicy');

        FreeLibrary(h);

        // DEP für den aktuelle Prozess aktivieren

        if not SetProcessDEPPolicy(PROCESS_DEP_ENABLE) then

          Result := GetLastError

        else

          Result := S_OK;

      end;

    end;

  end

  else

    Result := ERROR_OLD_WIN_VERSION;

end;