NX Mode — что это в биосе?
Приветствую. Антивирусы — это хорошо, защищают ПК от вирусов, но есть угрозы более сложные, которых даже не найти на диске — они свой код выполняют в оперативке или.. даже в памяти процессора, где уже антивирус может не помочь. Здесь нужна уже аппаратная технология безопасности, о которой речь и пойдет.
NX Mode — что это такое?
Режим безопасности, защищает от уязвимости типа переполнение буфера, при которой возможно выполнение вредоносного кода.
Например если функцию не поддерживает ПК, то установить Windows 8.1 будет невозможно. Из чего можно сделать вывод, что функцию в биосе лучше включать.
Режим требует поддержки со стороны операционки (DEP).
В процессорах Intel, поддержка функции обозначается надписью Execute Disabled Bit. В биосе иногда опция называется Execute Bit SUPPORT.
- Наличие поддержки NX со стороны процессора. Скорее всего ваш проц поддерживает функцию, так как она появилась более чем десять лет назад.
- Поддержка со стороны операционки, но тут также все нормально — Windows поддерживает еще начиная с далекой Windows XP SP2.
- PAE. Как понимаю, это когда проц видит более 4 Гб памяти. Скорее всего имеется ввиду что процессор должен поддерживать 64-битные Windows.
Простыми словами — это аппаратная опция безопасности, дополнительная защита от вирусов, троянов, хакерских атак. Лучше чтобы опция была включена, тем более это одно из требований Windows 8.
Опция в биосе Biostar:
Иногда софт не совместим с NX, поэтому в биосе и присутствует опция отключения.
Заключение
- NX Mode — аппаратная функция безопасности против уязвимости переполнения буфера, при которой возможно исполнение вирусного кода.
Intel XD Bit
Большинство современных процессоров позволяют аппаратно запретить исполнение программ из области, явно предназначенной для хранения данных, а не кода (так называемый DEP в терминах Microsoft или NX и XD bit в терминах производителей процессоров). Таким образом обеспечивается дополнительная защита компьютера от хакерских атак, вирусов и т.п. угроз. Если ваш процессор поддерживает эту технологию, включите (Enabled) эту опцию. Ну а для более ранних моделей процессоров, лишенных поддержки этой функции, установите значение Disabled.
Аппаратная поддержка запрета исполнения кода программ из области данных впервые появилась в процессорах фирмы AMD Athlon 64 (и Sempron на их основе). Компания Intel ввела этот механизм начиная с последних модификаций Pentium 4 (и Celeron на их базе).
Nx bit в биосе что это
Настройка BIOS Setup Безопасность Execute Disable Bit
Опция Execute Disable Bit позволяет задействовать аппаратную поддержку защиты от вредоносных программ (DEP). С помощью данной защиты включается режим, при котором запускать программы из области данных запрещается.
Enabled – использовать аппаратную поддержку защиты от вредоносных программ;
Disabled – отключить аппаратную поддержку защиты от вредоносных программ.
Опция также может иметь другие названия:
Execute Disable Function
Intel XD Bit
No-Execute Memory Protect
NX BIOS Control
NX Technology
XD Technology
Примечание 1. DEP (Data Execution Prevention, функция предотвращение выполнения данных) – это набор программных и аппаратных технологий, позволяющих задействовать режим, при котором запускать программы из области данных запрещается, что позволяет предотвратить атаки некоторых вредоносных программ (которые сохраняют код в области данных). Также с помощью данной функции выполняются дополнительные проверки содержимого памяти.
NX-бит
Аппаратный NX-Bit (No eXecute Bit в процессорах AMD), или XD-Bit (Execute Disable Bit в процессорах Intel), и связанная с ними технология Microsoft DEP — антивирусная технология, предотвращающая «заражение» компьютера некоторыми типами вредоносного программного обеспечения, искусственно вызывающего ошибку вида «переполнение буфера».
Основные сведения
Данная технология может работать только при соблюдении следующих условий:
- Процессор, поддерживающий данную технологию на аппаратном уровне (начиная с IntelPentium 4 серии 6xx и всех модификаций AMDAthlon 64).
- Операционная система с поддержкой данной технологии (например Windows XP Service Pack 2 или выше).
- Используется PAE или архитектура x86-64 (в этих режимах доступен бит запрета исполнения в таблице страниц).
Данная технология иногда вызывает программные конфликты с некоторыми видами ПО, поэтому в BIOS материнских плат, предусматривающих установку процессоров с поддержкой EDB, есть возможность отключения данной технологии.
Описание
NX (XD) — атрибут страницы памяти в архитектурах x86 и x86-64, который может применяться для более надежной защиты системы от программных ошибок, а также использующих их вирусов, троянских коней и прочих вредоносных программ. NX (No eXecute) — терминология AMD. Intel называет этот атрибут XD-бит (eXecution Disable).
Поскольку в современных компьютерных системах память разделяется на страницы, имеющие определенные атрибуты, разработчики процессоров добавили еще один: запрет исполнения кода на странице. То есть, такая страница может быть использована для хранения данных, но не программного кода. При попытке передать управление на такую страницу процессор сформирует особый случай ошибки страницы и программа (чаще всего) будет завершена аварийно. Атрибут защиты от исполнения давно присутствовал в других микропроцессорных архитектурах, однако в x86-системах такая защита реализовывалась только на уровне программных сегментов, механизм которых давно не используется современными ОС. Теперь она добавлена еще и на уровне отдельных страниц.
Современные программы четко разделяют на сегменты кода («text»), данных («data»), неинициализированных данных («bss»), а также динамически распределяемую область памяти, которая подразделяется на кучу («heap») и программный стек («stack»). Если программа написана без ошибок, указатель команд никогда не выйдет за пределы сегментов кода, однако, в результате программных ошибок, управление может быть передано в другие области памяти. При этом процессор перестанет выполнять какие-то запрограммированные действия, а будет выполнять случайную последовательность команд, за которые он будет принимать хранящиеся в этих областях данные, до тех пор, пока не встретит недопустимую последовательность, или попытается выполнить операцию, нарушающую целостность системы, которая вызовет срабатывание системы защиты. В обоих случаях программа завершится аварийно. Также процессор может встретить последовательность, интерпретируемую как команды перехода к уже пройденному адресу. В таком случае процессор войдет в бесконечный цикл, и программа «зависнет», забрав 100 % процессорного времени. Для предотвращения подобных случаев и был введен этот дополнительный атрибут: если некоторая область памяти не предназначена для хранения программного кода, то все ее страницы должны помечаться NX-битом, и в случае попытки передать туда управление процессор сформирует особый случай и ОС тут же аварийно завершит программу, сигнализировав выход за пределы сегмента (SIGSEGV).
Основным мотивом введения этого атрибута было не столько обеспечение быстрой реакции на подобные ошибки, сколько то, что очень часто такие ошибки использовались злоумышленниками для несанкционированного доступа к компьютерам, а также написания вирусов. Появилось огромное количество таких вирусов и червей, использующих уязвимости в распространенных программах.
Один из сценариев атак состоит в том, что воспользовавшись переполнением буфера в программе (зачастую это демон, предоставляющий некоторый сетевой сервис), специально написанная вредоносная программа (эксплоит) может записать некоторый код в область данных уязвимой программы таким образом, что в результате ошибки этот код получит управление и выполнит действия, запрограммированные злоумышленником (зачастую это запрос выполнить программу-оболочку ОС, с помощью которой злоумышленник получит контроль над уязвимой системой с правами владельца уязвимой программы, очень часто это root).
Технические детали
Переполнение буфера часто возникает, когда разработчик программы выделяет некоторую область данных (буфер) фиксированной длины, считая, что этого будет достаточно, но потом, манипулируя данными никак не проверяет выход за ее границы. В результате поступающие данные займут области памяти им не предназначенные, уничтожив имеющуюся там информацию. Очень часто временные буферы выделяются внутри процедур (подпрограмм), память для которых выделяется в программном стеке, в котором также хранятся адреса возвратов в вызывающую подпрограмму. Тщательно изучив код программы, злоумышленник может обнаружить такую ошибку, и теперь ему достаточно передать в программу такую последовательность данных, обработав которую программа ошибочно заменит адрес возврата в стеке на адрес, требуемый злоумышленнику, который также передал под видом данных некоторый программный код. После завершения подпрограммы инструкция возврата (RET) вытолкнет из стека в указатель команд адрес входа в процедуру злоумышленника. Контроль над компьютером получен.
Благодаря атрибуту NX такое становится невозможным. Область стека помечается NX-битом и любое выполнение кода в нём запрещено. Теперь же, если передать управление стеку, то сработает защита. Хоть программу и можно заставить аварийно завершиться, но использовать её для выполнения произвольного кода становится очень сложно (для этого потребуется ошибочное снятие программой NX-защиты).
Однако, некоторые программы используют выполнение кода в стеке или куче. Такое решение может быть связано с оптимизацией, динамической компиляцией или просто оригинальным техническим решением. Обычно, операционные системы предоставляют системные вызовы для запроса памяти с разрешенной функцией исполнения как раз для таких целей, однако многие старые программы всегда считают всю память исполнимой. Для запуска таких программ под Windows приходится отключать функцию NX на весь сеанс работы, и чтобы включить ее вновь, требуется перезагрузка. Примером такой программы может служить Iris.
NX-бит является самым старшим разрядом элемента 64-битных таблиц страниц, используемых процессором для распределения памяти в адресном пространстве. 64-разрядные таблицы страниц используются операционными системами, работающими в 64-битном режиме, либо с включенным расширением физических адресов (PAE). Если ОС использует 32-разрядные таблицы, то возможности использовать защиту страниц от исполнения нет.
Ссылки
Wikimedia Foundation . 2010 .