Можно ли выключить Windows Address Space Layout Randomization (ASLR) для одного приложения или это возможно только для всех приложений в системе?
С помощью ЕМЕТ можно не только включать и выключать ASLR, но и управлять другими средствами защиты от атак, такими как функция предотвращения исполнения данных в области Data Execution Prevention (DEP). С помощью ЕМЕТ можно включать и выключать компоненты для всех приложений в системе Windows — коллективно (на уровне всей системы) или по отдельности (на уровне конкретного приложения).
Кстати, часто в интернете выскакивают различные рекламы про быстрый заработок, все мы знаем что ни одна система из такой рекламы не работает. А нормальные люди которые предпочитают работать дома торгуют на ртс и ммвб, тут обмана никакого быть не может все зависит только от вашей сноровки.
ЕМЕТ имеет удобный графический интерфейс (ЕМЕТ_GUI.exe) и командную строку (EMET__Conf.exe). Оба исполняемых файла находятся в установочном каталоге ЕМЕТ (Program FilesEMET). После запуска графической утилиты ЕМЕТ в верхней части экрана можно увидеть параметры настройки ЕМЕТ на уровне всей системы, установленные для DEP, ASLR и Structured Exception Handler Overwrite Protection (SEHOP)
Для настройки параметров ЕМЕТ на уровне отдельного приложения (например, для выключения ASLR для Google Chrome) нажмите кнопку Configure Apps в нижней части главного экрана ЕМЕТ. Откроется экран конфигурации приложения (см. экран 2). В этом примере в файловой системе с помощью кнопки Add найден исполняемый файл chrome.exe и снят флажок MandatoryASLR. Для подтверждения изменения нажмите ОК.
Чтобы выполнить ту же задачу из командной строки с помощью EMET_Conf.exe, введите следующую команду: emet_conf — set “c:program filesgooglechromeapplication chrome.exe” -MandatoryASLR
Обратите внимание на двойное тире перед set. Последняя официальная версия ЕМЕТ (ЕМЕТ 3.0) включает интересный компонент ЕМЕТ Notifier, на который указывает значок в виде замка в области уведомлений на панели задач Windows. ЕМЕТ Notifier записывает относящиеся к ЕМЕТ события в журнал событий Windows (источник события — ЕМЕТ) и уведомляет пользователя о важных событиях ЕМЕТ с помощью всплывающих подсказок в области уведомлений панели задач. Например, в случае аварийного завершения приложения, обусловленного одним из параметров ЕМЕТ, определяющих выключение с целью предотвращения атаки, появляется подсказка с информацией о том, какое из приложений остановлено и какой процесс предотвращения атаки вынудил ЕМЕТ остановить приложение.
ЕМЕТ 3.0 работает на следующих клиентских операционных системах: Windows ХР SP3 и более новые версии, Windows Vista SP1 и более новые версии, а также Windows 7. С серверными продуктами ЕМЕТ 3.0 можно использовать на Windows Server 2003 SP1 и более новых версиях, Windows Server 2008 и Windows Server 2008 R2. В середине прошлого года также была выпущена предварительная версия ЕМЕТ 3.5 Tech Preview с поддержкой некоторых новых методик предотвращения атак, в частности атак, использующих возвратно-ориентированное программирование (ROP). Однако версия 3.5 лишь позволяет разработчикам оценить риски сбоев из-за проблем совместимости приложений для новых методик предотвращения атак. К широкому внедрению в корпоративный сектор ЕМЕТ 3.5 не готов.
Что такое Enhanced Mitigation Experience Toolkit (ЕМЕТ)?
Откровенно говоря, я узнал об этом инструменте, только когда мне задали о нем вопрос. После некоторых изысканий я обнаружил, что это удобное в использовании средство защиты приложений от атак. Когда компилируется приложение, обычно можно выбирать параметры и включать определенные технологии обеспечения безопасности. Изменение сделанного выбора, например включение службы предотвращения выполнения данных Data Execute Protection, требует перестройки приложения. ЕМЕТ позволяет развертывать средства безопасности без необходимости перестройки и обеспечивает приложениям дополнительную защиту от атак. При запуске приложения на экране появляется информация о включенных технологиях и о состоянии активных процессов. Интерфейс позволяет настраивать всю систему или отдельные приложения, включая необходимые технологии защиты, как показано на экране А. Здесь для synchro.exe включены все технологии защиты. Теперь при запуске приложение будет защищено с помощью этих технологий, и при этом не требуется перекомпиляция. ЕМЕТ— воистину благо для старых приложений, источник которых уже утрачен, но которые потенциально уязвимы для определенных типов атак. Стоит напомнить, что при включении технологий защиты от атак существует вероятность отказа некоторых функций приложения. Поэтому важно тестировать любое приложение, изменяемое с помощью ЕМЕТ.