DEP(Data Execution Prevention)即“數據執行保護”,這是Windows的一項安全機制,主要用來防止病毒和其他安全威脅對系統造成破壞。
微軟從Wows XP SP2引入了該技術,並一直延續到此後的Windows Server 2003、Windows Server 2008中。毫無例外,在Windows 7中DEP也作為一項安全機制被引入進來。本文將對Windows 7下的DEP進行一番解析。 微軟DEP實現採用了兩種方式,即硬體強制DEP和軟體強制DEP。硬體強制DEP,這需要處理器的支持,不過現在大多數處理器是支持DEP的。軟體強制DEP,這是由Windows作業系統在系統記憶體中為保存的數據對象自動添加的一組特殊指針提供。
基本介紹
- 中文名:數據執行保護
- 外文名:Data Execution Prevention)
Microsoft Windows XP Service Pack 2 (SP2) 通過實施一系列稱為數據執行保護 (DEP) 的硬體和軟體實施技術,幫助避免計算機在保留用於不可執行代碼的計算機記憶體區域中插入惡意代碼。 硬體實施 DEP 是某些處理器的功能,可以防止在已標記為數據存儲區的記憶體區域中執行代碼。 此功能也稱為非執行和執行保護。 Windows XP SP2 還包括軟體實施 DEP,其目的在於減少利用 Windows 中的例外處理機制的情況。
與防病毒程式不同,硬體和軟體實施 DEP 技術的目的並不是防止在計算機上安裝有害程式。 而是監視您的已安裝程式,幫助確定它們是否正在安全地使用系統記憶體。 為監視您的程式,硬體實施 DEP 將跟蹤已指定為“不可執行”的記憶體區域。 如果已將記憶體指定為“不可執行”,但是某個程式試圖通過記憶體執行代碼,Windows 將關閉該程式以防止惡意代碼。 無論代碼是不是惡意,都會執行此操作。
註:基於軟體的 DEP 是 Windows XP SP2 的一部分並默認啟用,不考慮處理器的硬體實施 DEP 功能。 默認情況下,軟體實施 DEP 套用於核心作業系統組件和服務。
DEP 默認配置的目的在於保護您的計算機,並儘量減小對應用程式兼容性的影響。 但是某些程式也可能無法正確運行,視您的 DEP 配置而定。 您可以使用本文檔中介紹的任務在計算機上配置 DEP:
· 為計算機上的所有程式啟用 DEP
· 將程式添加到 DEP 例外列表
· 為整個計算機禁用 DEP
重要: 安裝作業系統時,使用默認出現的“開始”選單,便可獲得本文檔中的步驟說明。 如果修改了“開始”選單,操作步驟會略有不同。
有關安全相關術語的定義,請參閱下面的資源:
· Microsoft 網站 http://go.microsoft.com/fwlink/?LinkId=35468 上的“Microsoft Security Glossary”
有關 DEP 的更多信息,請參閱下面的資源:
· Microsoft 幫助和支持網站 http://go.microsoft.com/fwlink/?linkid=35494 上的 Microsoft 知識庫文章 875352
