微软日前宣布Windows 10系统正在开发的新功能,该功能名为强制堆栈保护旨在加强系统和设备的整体安全性。
顾名思义该功能主要通过保护堆栈来确保数据不会遭到劫持,不过该功能实际还需要依靠现代处理器的相关技术。
微软表示强制堆栈保护通过使用现代处理器和影子堆栈间的结合,对内存中的堆栈数据等进行严格管理防止泄露。
影子堆栈:指的是读取原堆栈中的数据然后与加载顺序进行对比,若检测到返回地址不同则判定为系统遭到攻击。
强制堆栈保护用来解决内存错误等多种安全问题:
微软表示正在开发的强制堆栈保护可以抵御常见的内存错误攻击,例如堆栈缓冲区溢出、空指针或未初始化变量。
如果攻击者尝试利用恶意软件劫持其他软件的代码时,这些已知漏洞可以让攻击者劫持对应软件的正常运行流程。
但通过影子堆栈功能对堆栈中的数据进行读取和对比,可以检测到堆栈的实际数据与影子堆栈中的数据存在不同。
这种情况会被系统判定为检测到攻击因此会直接忽略任何异常的堆栈数据,从而有效阻止恶意软件利用漏洞攻击。
正在Windows 10 vNEXT版中开发该技术:
微软表示该功能目前尚处在早期开发和预览阶段,早期预览版本已经在 Windows 10 vNEXT 快速测试版中提供。