Консультант из французской компьютерной компании SYSDREAM исследовал и опубликовал свои исследования относительно нового механизма защиты памяти в грядущем релиз новой ОС от Microsoft под названием VISTA. Этот механизм носит название Address Space Layout Randomization (ASLR). Каждый раз при включении ПК функция ASLR загружает важные системные файлы в разные области памяти, что, по мнению Microsoft, затрудняет исполнение вредоносного кода. ASLR изобрела не Microsoft. Эта функция уже используется в нескольких операционных системах open source, включая OpenBSD, а также в патчах для Linux PaX и Exec Shield. При определенных видах атак злоумышленники пытаются заставить системные функции Windows, такие как socket() в wsock32.dll, открыть сетевой сокет. Новая функция перемещает эти системные файлы, делая их местонахождение непредсказуемым. В Windows Vista Beta 2 (например) файл DLL или EXE может находиться по любому из 256 адресов. Вышеназванный консультант Ali Rahbar исследовал работу этого механизма, описал его в своём исследвании, а также предложил методы обхода этой защиты.
Документ в формате PDF