Как добавить в исключения dep windows 10. отключение функции dep в windows7. отключение dep для всей системы

Как отключить DEP для отдельной программы

Поскольку отключение DEP для всех программ и служб в Windows опасно, рекомендуется деактивировать функцию завершения выполнения данных для отдельного приложения, которое выдает ошибку «Инструкция по адресу обратилась к памяти по адресу».  Сделать это можно двумя способами – через реестр или параметры быстродействия.

Отключение DEP через реестр

Реестр позволяет отключить работу функции DEP для отдельного приложения, установив запрет на конкретный исполнительный файл. Для этого необходимо:

  1. Нажать на клавиатуре сочетание клавиш Windows+R, чтобы запустить строку «Выполнить». Пропишите в ней regedit и нажмите Enter, после чего откроется редактор реестра;
  2. Далее в левой части меню нужно перейти по следующим разделам:
HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows NT - CurrentVersion - AppCompatFlags –Layers

Обратите внимание: В некоторых версиях операционной системы Windows может отсутствовать конечный раздел Layers. В такой ситуации потребуется его создать самостоятельно

Для этого откройте раздел AppCompatFlags в левой части экрана и нажмите правой кнопкой мыши в списке его строковых параметров. Во всплывающем окне выберите «Создать» — «Раздел» и назовите его Layers. После этого в него можно заходить и продолжать выполнение инструкции.

  1. В разделе Layers потребуется создать строковый параметр по имени пути exe-файла приложения, которому дается разрешение на работу без защиты функцией DEP. Для этого определитесь с точным названием исполнительного файла программы (узнать его можно в папке приложения). Далее нажмите правой кнопкой мыши в правой зоне раздела Layers и выберите «Создать» — «Строковый параметр». В качестве имени установите путь к exe-файлу программы, для которой отключается DEP, а в графе «Значение» потребуется прописать DisableNXShowUI.

Когда изменения в реестре будут сохранены, нужно перезагрузить компьютер и можно пробовать запустить программу, для которой был отключен DEP.

Отключение через параметры быстродействия

Некоторым пользователям удобнее работать с привычным интерфейсом Windows, чем с реестром. Для них компания Microsoft так же предусмотрела возможность отключения DEP. Выключить защитную функцию можно через параметры быстродействия:

  1. Нажмите правой кнопкой мыши на «Пуск» и выберите «Панель управления»;
  2. Далее установите режим просмотра «Крупные значки» и выберите пункт «Система»;
  3. В левой части экрана нажмите «Дополнительные параметры системы»;
  4. Откроется новое окно, в котором требуется перейти на вкладку «Дополнительно»;
  5. Далее в пункте «Быстродействие» нажмите «Параметры»;
  6. Перейдите на вкладку «Предотвращения выполнения данных» и установите галочку на варианте включения DEP для всех программ, кроме избранного списка;
  7. Далее нажмите «Добавить» и введите пути до исполняемых файлов, после чего программа, для которой включен запрет на функцию DEP, появится в списке.

Выполнив необходимые настройки, потребуется перезагрузить компьютер, чтобы изменения вступили в силу.

Как включить DEP на Windows 10

Выбор способа для обратного включения DEP зависит от того, каким методом вы пользовались, когда отключали опцию. Рассмотрим все варианты.

Через «Командную строку»

Если вы использовали «Командную строку», то есть провели деактивацию сразу для всех утилит, активировать дополнительную защиту DEP через «Панель управления» у вас никак не получится, потому что тот самый раздел «Предотвращение выполнения данных» будет просто отсутствовать в окне. Что в этом случае предпринять?

  1. Зайдите снова в «Командную строку» через режим администратора, используя подробную инструкцию из раздела «Отключение для всех утилит» этой статьи.
  2. Вставьте скопированный заранее код bcdedit.exe/set {current} nxAlwaysOn. Как видите, он не сильно изменился: вместо Off мы просто поставили On.Вставьте код bcdedit.exe/set {current} nxAlwaysOn в чёрный редактор и нажмите на Enter
  3. После этого жмём сразу на Enter, чтобы система начала выполнять команду.
  4. Перезапустите устройство, чтобы все изменения окончательно вступили в силу. Теперь в окне «Параметры быстродействия» появится нужная вкладка. В ней вы уже сможете настроить работу опции только для основных программ либо деактивировать для каких-то определённых.

Через «Панель управления»

Если вы отключали DEP для отдельных приложений в окне «Параметры быстродействия» и теперь хотите, чтобы функция работала для них снова, сделайте следующее:

  1. Запустите окно «Параметры быстродействия», используя инструкцию из раздела «Деактивация отдельных приложений» этой статьи.
  2. Перейдите на большой раздел «Предотвращение выполнения данных». Вы увидите список утилит, для которых вы отключили ранее DEP.
  3. Выделите левой клавишей мышки утилиту, для которой вы хотите восстановить защиту. После этого щёлкаем по кнопке «Удалить», расположенную под перечнем рядом с кнопкой «Добавить».Выберите программу левой клавишей и нажмите на кнопку «Удалить»
  4. Повторите процедуру для всех остальных утилит. Если вы не хотите избавляться полностью от перечня приложений, вы можете просто установить круглую отметку слева от первого пункта, который позволяет активировать DEP только для главных утилит и служб Windows. При обратном переключении на второе значения, ваш список снова появится в окне ниже.Если вы хотите сохранить список на будущее, включите первый пункт во вкладке «Предотвращение выполнения данных»
  5. Теперь кликаем по ОК и перезапускаем обязательно систему, иначе внесённые изменения не вступят в силу.

В «Редакторе реестра»

Если вы создавали параметры для отдельных программ в «Редакторе реестра», процедура активации средства защиты DEP будет выглядеть следующим образом:

  1. Вызовите уже знакомую вам папку Layers в третьем главном блоке HKEY_LOCAL_MACHINE. Для этого воспользуйтесь инструкцией из раздела «Отключение с помощью «Редактора реестра».
  2. Найдите записи в перечне, соответствующие приложениям, для которых вы хотите включить DEP. Щёлкните по одной из них правой клавишей мышки и в небольшом сером меню выберите третью опцию «Удалить». Вы также можете выделить её левой клавишей, а затем на клавиатуре нажать на Delete.Кликните по опции «Удалить» в контекстном меню
  3. Подтвердите очистку, нажав на «Да» в окне с предупреждением.Кликните по «Да», чтоб подтвердить удаление
  4. Выполните те же шаги для всех остальных ненужных записей реестра и перезагрузите компьютер.

Функция DEP представляет собой «предохранитель» системы от запуска вирусов. В некоторых случаях она может по ошибке принимать безопасные программы, которыми пользуется клиент Windows 10, за вредоносное ПО. Если вы доверяете этим утилитам, поставьте их в качестве исключения в окне «Параметры безопасности» или же в «Редакторе реестра» — опция перестанет работать для них. Вы также вправе выключить функцию полностью через «Командную строку», однако в этом случае вы берете на себя ответственность за безопасность вашего компьютера: если вирусный код попадёт на ваше устройство, он запустится при выключенном DEP.

Смысл технологии DEP заключается в том, что Windows, опираясь на аппаратную поддержку NX (No Execute, для процессоров AMD) или XD (Execute Disabled, для процессоров Intel) предотвращает выполнение исполняемого кода из тех областей памяти, которые помечены как неисполняемые. Если проще: блокирует один из векторов атаки вредоносного ПО.

Однако, для некоторого ПО включенная функция предотвращения выполнения данных может послужить причиной появления ошибок при запуске — встречается это и для прикладных программ, и для игр. Ошибки вида «Инструкция по адресу обратилась к памяти по адресу. Память не может быть read или written» тоже могут иметь своей причиной DEP.

Твой первый ROP или ret2libc

В классическом 32-битном случае ret2libc требует создания фейкового стека со всеми необходимыми параметрами для вызова функции из libc. Например, можно вызвать функцию и передать ей строку .

Как ты помнишь из предыдущей статьи, в 64-битной системе первые шесть параметров передаются через регистры , , , , и . Все остальные параметры передаются через стек. Таким образом, для того чтобы вызвать функцию из libc, нам сначала необходимо присвоить регистрам нужные значения. Для этого мы и будем использовать ROP.

ROP (return-oriented programming) — это технология, которая позволяет обходить NX-бит. Идея ROP-цепочек довольно проста. Вместо того чтобы записывать и исполнять код на стеке, мы будем использовать так называемые гаджеты.

Гаджет — это короткая последовательность команд, которые заканчиваются инструкцией . Комбинируя такие команды, мы можем добиться исполнения кода.

При помощи гаджетов мы можем:

  • записывать константу в регистр, например ;
  • брать значение из памяти и записывать в регистр, например ;
  • копировать значение в память, например ;
  • выполнять различные арифметические операции, например ;
  • делать syscall.

Наш эксплоит будет сравнительно простым. Он будет вызывать . Для этого нам необходимо узнать:

  • адрес функции . Мы отключили ASLR, таким образом, он не будет меняться при перезапуске;
  • адрес строки в памяти (или, другими словами, указатель на строку);
  • адрес ROP-гаджета, который скопирует адрес строки в регистр (через него передается первый параметр функции);
  • номер байта, после записи которого начинает перезаписываться регистр .

Для того чтобы найти адрес функции , воспользуемся отладчиком GDB — введем . Затем запустим нашу программу:

Получим адрес функции :

Получим указатель на строку :

Записываем полученные адреса на листочек или в блокнот (у тебя они могут отличаться). Теперь нам нужен гаджет, который скопирует значение в регистр . Для этого воспользуемся . Запускаем и затем ищем нужный гаджет:

Этот гаджет нам подходит. Он возьмет значение из стека и запишет его в регистр . Сохрани его адрес.

Осталось узнать, сколько надо записать «мусора» перед нашим эксплоитом, чтобы управление передалось по правильному адресу.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Отключение MDM профиля

1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:Настройки -> Безопасность -> FileVault — выключить

2. Перезагружаемся в режиме восстановления:Удерживаем (Command+R) во время загрузки до появления полосы загрузки.

3. В режите восстановления запускаем терминал:»Утилиты» -> «Терминал»

4. Смотрим индентификатор тома:

5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться «Macintosh HD». Здесь и далее будем использовать его.

Записываем на листик индентификатор тома «/Volumes/Macintosh HD»

Внимание! Не перепутать с диском «/Volumes/Macintosh HD — Data»Идентификатор выглядит примерно так dev/disk4s5 — в вашем случае цифры могут быть другие. Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!

Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!

6. Отключаем том и копируем файлы агентов в отдельную папку bak:

7. Отключаем Signed System Volume (SSV):

8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:

9. Закрываем терминал и перезагружаемся.

Готово. Агенты MDM профиля больше системой не видятся.

Обновления будут работать. Если сделать чистую переустановку — процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.

Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.

Немного про DEP и MDM

Update: Спасибо @agafon_aga за существенные замечания:

Профили DEP (Device Enrollment Program) и MDM (англ. Mobile Device Management), как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. Профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал.

Короче, в общем для компании — это хорошо, в частности для конкретного пользователя — не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.

Корпоративный профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.

Решение с обходом блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.

Как отключить DEP в windows

Начиная с ОС windows XP и во всех последующих версиях системы windows, есть такая функция как DEP. Ее можно расшифровать и перевести как «предотвращение выполнения данных». В некоторых случаях, работа данной службы создает определенные помехи и тогда возникает необходимость в ее отключении. Эта процедура не слишком сложная и многие смогут это легко повторить, ну а если отключение не дало желаемого эффекта, то DEP всегда можно снова активировать. Для большей наглядности, в конце статьи можно посмотреть видео, где все подробно показано.

Что такое функция DEP?

Основное предназначение функции DEP, это защита вашей системы от вредоносных приложений и других угроз, которые могут быть опасны для windows. Но не надо думать, что это на подобии антивируса или брандмауэра. Нет, это совсем другая программа, работающая по иному принципу.

Функция DEP способна отмечать различные области оперативной памяти которые не предназначены для использования. Если какая-нибудь программа начнет туда «влезать», то DEP тут же ее принудительно отключит и выдаст соответствующее сообщение об ошибке. Так часто могут работать вирусы или некорректно работающие приложения, в следствии чего предотвращается работа потенциально опасных для системы программ и служб.

Обычно, если с DEP не наблюдается проблем в системе, лучше вообще не трогать эти настройки. Но в некоторых случаях, встроенная утилита может создавать помехи в работе вполне нормальных программ, которые не несут никакой угрозы. В таких случаях приходится прибегать к отключению этой функции.

Как отключить DEP в windows?

Ну что же, приступим к делу. Откройте меню «Пуск» и в поисковом поле введите «cmd» (без кавычек). Появится список найденных файлов, в самом верху будет одноименная программа. Но не спешите ее запускать, ведь мы должны работать через учетную запись администратора. Поэтому, сделайте по ней клик правой кнопкой мышки и нажмите на «Запуск от имени администратора».

При этом, если находитесь в системе с учетной записи простого пользователя, то вам придется дополнительно ввести пароль для входа через учетную запись администратора, если он установлен.

После этих действий откроется окошко командной строки. Скопируйте в него данную команду и нажмите клавишу «Enter»: bcdedit.exe /set {current} nx AlwaysOff

В окне должно появиться сообщение об успешном завершении операции, как показано на рисунке ниже.

Чтобы все изменения начали работать, выполните перезагрузку компьютера. Вот так мы полностью выполнили отключение DEP для абсолютно всех приложений, служб и программ. Это действие применяется в любом случае, даже если работа этой функции никак не поддерживается на аппаратном уровне.

Выключаем DEP только для отдельного приложения

Есть и такой способ. Чтобы это сделать, откройте панель управления и перейдите в раздел «Система». В левой части окна, на панели, нажмите на ссылку «Дополнительных параметров системы».

На самой первой вкладке «Дополнительно» там, где раздел «Быстродействие», делаем клик по кнопке «Параметров».

В следующем окошке открываем вкладку «Предотвращение выполнения данных». Видим такую картинку.

При стандартных настройках, эта функция будет работать исключительно с основными программами и службами. Но если переместить переключатель на пункт ниже, туда где написано «Включить для всех программ и служб», у нас появится возможность выбрать и добавить к списку программы, с которыми DEP не будет работать. Просто выбираете в списке программу или нажимаете «Добавить» и через окно проводника найдите исполняемый файл программы и выбираете его.

Но есть одна особенность, 64 разрядные приложения не будут добавляться к данному списку. И далеко не все программы могут поддерживать работу без функции предотвращения выполнения данных. Это нужно учитывать и в таких случаях будет появляться ошибка.

В случае отключения службы через командную строку, рекомендуем убедится в том, что она включена для работы только с основными программами. Если она включена для всех приложений и служб, то разумно сначала переключиться на работу только для основных служб и выполнить перезагрузку компьютера. Вполне возможно, что этого будет достаточно, для решения проблемы и использование командной строки не потребуется.

Как включить DEP?

Чтобы снова запустить работу данной функции, откройте командную строку (cmd) с правами администратора, скопируйте туда и выполните вот такую команду:

bcdedit.exe /set {current} nx OptIn

После этого сделайте перезагрузку компьютера и DEP будет работать, как и прежде. Напоследок, для большей наглядности, предлагаем вам взглянуть на видео, где все подробно показано:

Почему не следует отключать DEP

Хотя первоначальные версии DEP действительно вызывали проблемы, более новые версии в Windows 8 и Windows 10 намного лучше. DEP теперь в основном работает в фоновом режиме и не влияет на то, как вы используете свой компьютер. Есть несколько причин, по которым вы не должны отключать DEP.

Существенная защита от невидимого

Основная причина оставить DEP включенным в том, что он обеспечивает почти невидимую защиту от невидимых злоумышленников. Если вирус или вредоносное ПО проникает через ваше программное обеспечение безопасности и DEP отключен, нет никакого способа узнать, что на вашем компьютере что-то работает. Вредоносная программа может запускать сценарии и выполнять свои задачи без помех, что может иметь разрушительные последствия.

Теперь DEP распознает большинство новых игр и программ и не будет беспокоить вас ошибками или предупреждениями. Это одна из тех функций Windows, которые действительно представляют ценность для пользователей.

Поскольку в Интернете больше вирусов и вредоносных программ, чем когда-либо, любой дополнительный уровень защиты — это хорошо. Если он время от времени выдает странную ошибку, это небольшая цена. Кроме того, если ему не нравится конкретная программа, вы всегда можете добавить ее в белый список, используя метод, который я описал выше. Пока вы уверены, что программа безопасна, все будет в порядке.

Ошибка может быть не из-за DEP.

Некоторые ошибки нарушения вообще не имеют ничего общего с предотвращением выполнения данных. Это может быть контроль учетных записей пользователей, локальная политика, групповая политика, Защитник Windows, ваш антивирус или вредоносное ПО или что-то совершенно другое. Среди ИТ-специалистов есть привычка обвинять DEP в любом нарушении доступа или памяти, но это не всегда так. Иногда бывает, но не всегда.

Вы также можете поэкспериментировать, отключив UAC, временно приостановив работу программного обеспечения безопасности или запустив программу с правами администратора. Если после этого он сработает, значит, это вообще не был DEP.

Предотвращение выполнения данных было добавлено в Windows в качестве дополнительного уровня защиты. Возможно, мне не нравятся некоторые решения Microsoft, когда дело касается «защиты нас», но DEP — это то, что работает. Если вам действительно не нужно отключать DEP, я бы действительно оставил его включенным.

Типы предотвращения выполнения данных в Windows 10

Есть два разных метода создания DEP:

  • Аппаратный DEP
  • Программный DEP

Аппаратный DEP

Аппаратный DEP обнаруживает подозрительный код, который запускается из областей памяти как неисполняемый, перехватывает и создает исключение для предотвращения любых атак на систему. Единственное исключение — регион, в котором конкретно содержится исполняемый код.

Аппаратный DEP полагается на аппаратное обеспечение процессора, чтобы пометить память соответствующим набором атрибутов, указывающих, что код не должен выполняться из этой памяти.

Для использования аппаратного DEP должны быть соблюдены следующие условия:

  • Процессор вашего компьютера должен поддерживать аппаратную поддержку DEP. Фактическая аппаратная реализация DEP зависит от архитектуры процессора, например AMD и Intel, чьи Windows-совместимые архитектуры также DEP-совместимы.
  • Включите аппаратное DEP в BIOS.
  • На вашем компьютере должна быть установлена ​​Windows Server 2003 с пакетом обновления 1 или Windows XP с пакетом обновления 2.
  • Включите аппаратное DEP для программ на вашем компьютере. В 32-битных программах аппаратное DEP может быть отключено в зависимости от вашей конфигурации, но в 64-битных версиях Windows этот параметр всегда включен для 64-битных встроенных программ.

Не уверены, какая версия Windows установлена ​​на вашем компьютере? Вот 4 способа узнать, используете ли вы 32-разрядную или 64-разрядную версию Windows.

Программный DEP

Программный DEP — это дополнительный набор проверок безопасности DEP, который помогает предотвратить использование вредоносным кодом механизмов обработки исключений в Windows.

Этот тип DEP работает на любом процессоре, поддерживающем Windows XP Service Pack 2, и защищает только ограниченную системные двоичные файлынезависимо от аппаратных возможностей DEP вашего процессора.

Как отключить DEP для определенных программ в Windows 10

По умолчанию Windows включает DEP только для основных программ и служб Windows. Таким образом, DEP не будет контролировать большинство других программ на вашем компьютере с Windows 10.

Но если DEP вызывает конфликт с надежными законными программами, вы можете сначала проверить, предоставил ли производитель программы версию, совместимую с DEP, или сделал ли он некоторые обновления, чтобы сделать ее совместимой с DEP, если да, вы можете обновить программу или установить версию, совместимую с DEP.

Если еще нет DEP-совместимой версии программы, вы можете отключить DEP для конкретной программы в Windows 10, следуя приведенному ниже руководству. Вы можете использовать эту программу, но она может быть атакована вредоносными программами, вирусами или другими угрозами, а также может повлиять на другие программы и файлы на вашем компьютере.

Простые 3 шага для быстрого бесплатного восстановления моих файлов / данных с помощью лучшего бесплатного программного обеспечения для восстановления файлов. Включены 23 часто задаваемых вопроса и решения по восстановлению моих файлов и потерянных данных.

Шаг 1 — Откройте окно предотвращения выполнения данных

Сначала вы можете откройте Панель управления Windows 10 . Нажмите Начало , тип панель управления и щелкните Панель управления открыть его.

Далее вы можете нажать Система и безопасность -> Система -> Расширенные настройки системы открыть Свойства системы окно.

Затем вы можете нажать Продвинутый вкладку и щелкните Настройки кнопка под Спектакль вариант.

Нажмите Предотвращение выполнения данных вкладка в Параметры производительности , чтобы открыть окно предотвращения выполнения данных.

Шаг 2. Отключите DEP для определенных программ.

Теперь вы можете нажать Включите DEP для всех программ, кроме выбранных мной. вариант. Нажмите Добавить кнопку, чтобы просмотреть расположение программ, щелкните программы и щелкните открыто чтобы добавить их в список.

Наконец, вы можете отметить программы, которые хотите исключить из DEP, и нажать Применять кнопку, чтобы удалить их из защиты DEP. Перезагрузите компьютер с Windows 10, чтобы изменения вступили в силу.

Заметка:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector