Windows Vista mang đến một tính năng bảo mật thú vị có tên là ASLR - Ngẫu nhiên bố trí không gian địa chỉ. Điều này sử dụng một địa chỉ bộ nhớ ngẫu nhiên để thực thi mã, nhưng trong Windows 8, Windows 8.1 và Windows 10, có vẻ như tính năng này không phải lúc nào cũng thực hiện đúng.

Theo một nhà phân tích bảo mật, trong ba phiên bản Windows cuối cùng này, ASLR không sử dụng địa chỉ bộ nhớ ngẫu nhiên. Nói cách khác, nó vô dụng.

Cách triển khai ASLR thủ công

Bằng cách thực thi mã ở một vị trí ngẫu nhiên, ASLR giúp bảo vệ chống lại các khai thác mà bạn cố gắng tận dụng mã được thực thi trong các địa chỉ bộ nhớ có thể dự đoán hoặc đã biết.

Vấn đề xuất hiện khi EMET hoặc Windows Defender Miningit Guard được sử dụng để kích hoạt ASLR bắt buộc trên cơ sở toàn hệ thống.

Chuyên gia bảo mật đã nghiên cứu vấn đề này là Will Dormann, và anh ta giải thích mọi thứ bạn cần biết về vấn đề xảy ra do một mục đăng ký.

Theo Dormann, cả Windows Defender Miningit Guard và EMET đều cho phép ASLR trên toàn hệ thống mà không cho phép ASLR từ dưới lên trên toàn hệ thống.

Ngay cả khi Windows Defender Miningit Guard có tùy chọn toàn hệ thống cho ASLR từ dưới lên trên toàn hệ thống, giá trị GUI mặc định của On On theo mặc định là không phản ánh giá trị đăng ký cơ bản.

Điều này sẽ dẫn đến thực tế là các chương trình không có / NĂNG ĐỘNG để được di dời mà không cần entropy. Các chương trình sẽ được chuyển đến cùng một địa chỉ mỗi lần khởi động lại và trên các hệ thống khác nhau.

Giải pháp là bạn phải tạo tệp.reg với văn bản sau:

Windows Registry Editor Phiên bản 5, 00

Giảm thiểu tiếng AnhOptions Xếp hạng = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Sau đó, bạn phải nhập tệp này vào Registry Editor và mọi thứ sẽ được sắp xếp.

Một số người dùng nói rằng vấn đề bắt nguồn từ EMET và sự thay thế của nó là một công cụ cho những người quản trị hệ thống, những người có quá nhiều thời gian trên tay họ và đã ngừng sử dụng mà không cần thay thế. Họ không nghĩ rằng vấn đề là do hệ thống ASLR cơ bản.