用EMET防范0day漏洞溢出攻击

要说最恐怖的黑客攻击是什么，答案肯定是缓冲区溢出攻击。当年Windows爆发RPC溢出漏洞后，网络上每天有数百万台计算机被黑客入侵。黑客利用溢出漏洞无需复杂的技术，只需利用工具一个命令即可进入目标的计算机中，史上最强计算机病毒“震荡波”也正是利用PRC溢出漏洞进行传播的。而杀毒软件面对溢出攻击，却束手无策，这就是溢出攻击的恐怖之处。那么什么是溢出攻击?我们又该如何防范溢出攻击呢?请看本文。

什么是溢出攻击?

溢出，顾名思义和水溢出的原理相当。我们来举个简单的例子：有一桶干净的水，水面刚好和桶口齐平，我们将一杯污水倒入到这个桶中，这时水会发生溢出，但这不是重要的，重要的是已经有部分污水混入了干净的水，这时这桶水已经不再是一桶干净的水了。

把这个原理搬到溢出攻击中后可以这样理解：我们将一段恶意代码通过漏洞插入到程序正常的代码当中，由于代码长度是固定的，这段代码会有一部分正常代码被溢出，也就是说我们的恶意代码代替了正常的程序代码。在程序要调用这段代码的时候，它会将我们插入的恶意代码当作正常代码调用，这时溢出攻击就完成了。这段恶意代码可实现的作用是任意的，例如提升用户权限、造成程序崩溃等等。

本文相关软件

Enhanced Mitigation Experience Toolkit

软件版本：2.0.0.3

软件大小：4.66MB

软件语言：中文

应用平台：Windows XP/Vista/7

注：在安装之前，首先要安装.net framework 2.0。

下载软件：http://down./data/169420

更多安全工具>>进入专题

更多网管软件>>进入专题

由于溢出攻击属于黑客攻击行为，并不是什么病毒木马，因此杀毒软件在溢出攻击面前毫无招架之力，所以在电脑上安装杀毒软件并不能防御溢出攻击，而必须借助一些专业的防溢出安全软件。

防范溢出是一项比较复杂的工作，如果对系统进行防溢出配置，那需要花费大量的时间，并且需要一定的技术，因此借助于防溢出安全工具无疑是最好的选择。微软的防溢出工具Enhanced Mitigation Experience Toolkit(简称EMET)可以说是配置最简单也最有效的防溢出工具(谁让Windows是溢出漏洞大户呢)。EMET不仅可以防范Windows上的各种0day漏洞，还能防范第三方软件的0day漏洞，在漏洞补丁没有发布之前，EMET可以有效保护计算机不被黑客攻击。

EMET主界面

EMET可以提供数据执行保护功能(DEP)，这是自XP SP2起加入的安全功能。DEP可以强制阻止位于内存中的可执行代码运行，仅允许纯数据内容，这样就能预防常见的漏洞利用方式。而通过EMET就可以让原本不具备DEP功能的应用程序获得这项功能。#p#

安装完毕后我们双击运行，EMET的界面可以说是相当之简洁。上半部分为系统全局状况，下半部分则是当前所有运行中的进程，可以查看是否支持DEP，是否被EMET强化过。上半部分的系统全局设置Configure System选项，对于Windows 7用户采用默认设置即可;对于XP用户，建议采用“Maximum Security Settings”，因为XP本身不具备SEHOP和ALSR(克服地址空间布局随机化限制，防止dll溢出)功能。

全局保护设置

而应用程序方面，鉴于目前被利用的绝大多数0day都来自与网络有关的应用程序，比如IE，所以我们要重点关照一下这些程序。点击“Configure Apps”，接着点“Add”，添加你希望保护的程序。完成后运行你刚才添加的程序(如果该程序添加前已经在运行则需要关闭重启之)，此时，在EMET主界面上就会看到受保护的程序在“Running EMET”一栏里有了标识。

添加对单个程序的保护

以后只要网络上公布了Windows或某软件的0day漏洞，我们就可以通过EMET对其进行设置，这样即可临时解决溢出问题。当然，最终的解决办法还是安装漏洞补丁，这样才能一劳永逸。

【编辑推荐】