Добрый день.
Стали поступать сообщения от защиты от эксплойтов
Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: попытка отключения DEP. Имя объекта: ***\EXCEL.EXE
При расследовании выяснилось, что срабатывание скорее всего на легитимный процесс.
Вопрос в следующем: Как в ksws реализована защита от экслойтов? Если есть какой-то скрипт пишущий информацию в Excel и защита от эксплойтов стоит в режиме информирования, может ли она как-то мешать его работе?
Какой из сценариев верен:
- В режиме информирования, работа процесса продолжает идти как раньше, просто поступают сообщения попытке эксплуатации уязвимости.
- DEP - Техника защиты от эксплойтов, внедряемая в процесс антивирусом. Из документации: Предотвращение выполнения данных - запрет исполнения произвольного кода в защищенной области памяти. И она запрещает скрипту выполняться, даже в режиме информирования, он ее пытается отключить, не может, и из-за этого приходят соответствующие сообщения. А в режиме блокировки KSWS, в дополнение к запрету еще бы и терминировал процесс excel.exe.
Спасибо.