/></p></noscript>
<!-- End Piwik Code --></head>
<body class='template-news-item'>
	<!-- Google Tag Manager (noscript)-->
	<noscript><iframesrc=

SoftwareGeek.nl

Als Data Execution Prevention niet werkt

8-06-2015

Data Execution Prevention is een belangrijke Windows-beveiliging subsysteem; hieronder leggen we uit hoe het werkt en hoe u het kunt repareren als het zich misdraagt of niet werkt​​.

Verder behandelen we nog:

Hoe kan ik in Windows drie verschillende timestamps gebruiken om verloren bestanden te lokaliseren?

DEP probleem maakt surfen op het web moeilijk

Lezer Robert is gefrustreerd. Windows 'Data Execution Prevention is voortdurend defect en het veroorzaakt problemen met de browser.

"Ik gebruik IE 11 met 64-bits Windows 7 De browser komt constant met het bericht 'Kan pagina niet openen'.
"Ik heb herhaaldelijk gebruik gemaakt van Microsoft fixit voor IE; ik denk dat DEP steeds wordt uitgeschakeld en weer ingeschakeld. IE lijkt dan voor een tijdje te werken. Maar dan is de [foutmeldingen terug]. "Alles wat ik heb gelezen over DEP wordt beschreven hoe u het uit te schakelen. Hoe krijg je hem aanzet – maar hoe zet ik DEP aan?
"Ik zet alle IE add-ons uit (het systeem, moet tot vervelens toe opnieuw opstarten) en zette daarna een ieder add-on achtereenvolgens]weer aan. Maar het probleem blijft bestaan​​. "Elke hulp is welkom."

Tuurlijk, Robert. Ik kan me drie mogelijke oplossingen - en een tijdelijke oplossing bedenken.
Maar laten we eerst eens zorgen dat we over hetzelfde praten.

Windows Data Execution Prevention (DEP) is een beveiligingsfunctie bedoeld om te voorkomen dat bepaalde vormen van verdachte code wordt uit gevoerd.
Bijvoorbeeld, op een manier dat antimalware beschermd tegen infectie door het actief volgen van het geheugen (RAM) en locaties met uitvoerbare code. Maar sommige malware vermijdt detectie door het invoegen van een live nuttige lading op een onbewaakt geheugenplaats - dat wil zeggen, locaties die niet verondersteld worden uitvoerbare code te bevatten. De infectie kan dan wortel schieten in het systeem, uit het zicht van uw antimalware programma.

DEP kan alle uitvoerbare code bijhouden, door het blokkeren van code (dat wil zeggen, het afsluiten van een applicatie) die probeert weg te komen van een onbevoegde locatie. Windows heeft een software- en hardware-gebaseerde versie van DEP. De software-implementatie beschermt sleutel systeem software en diensten; het laat ook een aantal speciaal geschreven applicaties monitoren in hun eigen geheugen ruimte. Internet Explorer, bijvoorbeeld, werkt met DEP; het helpt voorkomen dat malware een steunpunt in uw systeem kan krijgen via uw browser.

Op hardware gebaseerde DEP werkt op het hele systeem en is ingebouwd in de CPU (Processor). De technologie heeft verschillende namen: NX (No Execute), XD (Execute handicap), XN (Execute nooit), en verschillende anderen.

De meeste huidige PC's ondersteunen een van deze technologieën.
Op hardware gebaseerde DEP laat Windows alle geheugenlocaties als expliciet uitvoerbare of nonexecutable markeren. De CPU zal code die komt van "nonexecutable" gebieden van het geheugen niet draaien en helpt voorkomen dat een breed scala aan back-door-aanvallen die mogelijk afkomstig zijn van een obscure hoek, worden uitgevoerd.

Oorzaken en behandelingen:

1. Malware: Kwaadaardige hackers kennen DEP en vaak proberen ze dit te omzeilen. Bijvoorbeeld, sommige malware bevat een kleine component die eerst probeert DEP uit te schakelen. Als dat lukt, kan een groter laadvermogen van kwaadaardige code vervolgens worden gevuld - en uitvoert van - nu onbewaakte geheugen locaties.
De eerste indicatie van een infectie zou kunnen zijn dat DEP wordt uitgeschakeld zonder uw medeweten of toestemming. Dit kan het probleem, goed zijn Robert!
Dus mijn eerste suggestie is om uw systeem grondig te scannen met verschillende standalone, (op zichzelf staande pc) antimalware programma’s.

Gebruik een merk van malware scanner anders dan uw dag-tot-dag AV software. Een merk kan kwaadaardige code missen dat door een ander merk wordt gespot. Er zijn tal van on-demand antimalware programma’s beschikbaar - velen van hen zijn gratis.

  1. Controleer of de interne DEP voor IE is ingeschakeld: Controleren dat DEP werkt met IE is snel en eenvoudig.

Open Internet Explorer, ga naar opties in het menu Bewerken (of klik op het tandwiel-pictogram) en klik op Internet-opties. Klik op het tabblad Geavanceerd en ga naar de sectie Beveiliging. In Vista (IE 9) en Win7 (IE 9, 10, 11), zorg ervoor dat de bescherming van het geheugen is ingeschakeld (memory protection) om online aanvallen te beperken.
In Win8 (IE 11), zorg ervoor dat Enhanced Protection Mode is aangevinkt. (Windows 8 heeft Enhanced Protection Mode [EPM] bevat DEP plus een aantal andere beschermende technologieën).

Voor meer informatie over EPM, zie deze MSDN Dev Guide artikel en een gerelateerd MSDN IEBlog bericht.

3. Installeer gratis EMET van Microsoft: De Enhanced Mitigation Experience Toolkit (meer info / download) versterkt DEP, zodat het werkt met alle software - niet alleen apps die speciaal zijn geschreven ter ondersteuning van DEP. Het gebruikt ook andere beschermende technologieën om het kwaadaardige payloads moeilijker maken om stiekem in je systeem te komen (zie Figuur 1).

Figuur 1 Microsoft Enhanced Mitigation Experience Toolkit is gratis en geeft u meer beveiligingsopties en fijnere controle dan de standaard ingebouwde DEP in Windows.

EMET komt met redelijke voorinstellingen, maar het is ook gemakkelijk aan te passen.
Een nieuwe versie van EMET kwam onlangs uit; Microsoft Windows 8 geeft ondersteuning voor EMET.

4. Gebruik de handleiding noodoplossingen. Deze laatste optie is belangrijk om u te helpen als u moeite heeft de implementatie van een permanente oplossing te krijgen.
DEP inschakelen op elk gewenst moment via de volgende opdracht, maak gebruik van de opdrachtprompt met adminrechten:

bcdedit.exe / set {current} nx AlwaysOn

Voor uw gemak, stel ik voor dat u de opdracht plaatst in een scriptlet of batch-bestand en deze het op uw bureaublad zet. U kunt vervolgens op het script klikken, elke keer wanneer u ervoor wilt zorgen dat DEP is ingeschakeld.
Met een beetje geluk heeft u geen lapmiddelen nodig. In plaats daarvan zal een grondige anti-malware scan, instellingen controle van uw browser, en een nieuwe EMET installatie krijgt u waarschijnlijk de DEP problemen onder controle.

Meer informatie:

  • "Change Data Execution Prevention instellingen" - Microsoft how-to
  • "Data Execution Prevention: veel gestelde vragen" - MS FAQ
  • "DEP of niet DEP" - TechNet blog

Vind verloren bestanden met verschillende timestamps in Windows

Een lezer had een ongeluk met de muis waardoor een groot aantal van haar bestanden is verspreid over een onbekend aantal mappen. Ze is op zoek naar een manier om deze bestanden terug te krijgen.

"Helpt u mij alstublieft! Gisteravond was ik bestanden aan het verplaatsen met behulp van knip-en-plak optie. Wanneer ik een stel bestanden wilde plakken, gleed mij muis weg. Ik vond ongeveer de helft van de bestanden in een map systeem, maar de rest is verdwenen. Dit is voor acht jaar werk! Hoe kan ik ze terug vinden, en hoe zet ik de bestanden weer terug? Alsjeblieft, help me! "

Goed nieuws: Als u waarschijnlijk al vermoedt uw bestanden zijn er nog steeds. Immers, u was ze niet aan het verwijderen – maar u was ze aan het verplaatsen. Ze zijn waarschijnlijk gewoon op de verkeerde plaats belandt.

(Als u ze verwijdert, belanden ze waarschijnlijk in de Prullenbak van Windows. Zodat u de bestanden daar niet uit hoeft te halen).

U vertelde dat u op ongeveer de helft van de bestanden gevonden heeft ik vermoed dat de rest van de bestanden zijn in de buurt van de Systeemmap staan. - Misschien zelfs in een van de aangrenzende mappen - afhankelijk hoe ver de cursor weggleed toen het met de muis mis ging.

Ik stel voor dat u opnieuw de setup gebruikt die u had toen u het de bestanden ging verplaatsen. Open dezelfde windows en dezelfde mappen in Windows / Verkenner. Zoek de systeemmap waar de helft van de bestanden in terecht kwamen. Vervolgens opent u nabijgelegen mappen in de verkenner - die boven en onder de systeemmap staan. Als u geluk heeft, staat de rest van uw bestanden in een of meer van die omliggende mappen.

Als de bestanden er niet zijn - of als u niet zeker weet dat u ze allemaal gevonden heeft - gebruik een goede zoekfunctie om uw hele schijf doorzoeken. Gebruik de geschatte datum en het tijdstip van de muis ongeval als een van de zoektocht beperkingen.

Het helpt dat Windows drie verschillende data en tijden (timestamps) voor elk bestand bijhoud: wanneer het bestand voor het eerst werd gemaakt, wanneer het bestand voor het laatst werd gewijzigd, en wanneer het voor het laatst werd geopend.

Deze timestamps zijn ongelooflijk handig voor het vinden van verloren bestanden, omdat het kopiëren of verplaatsen van een bestand ten minste een van de drie timestamps verandert. Dus, heeft u een time-based manier om u op het spoor te zetten van de misplaatste bestanden.

Begin met het zoeken naar het type (of typen) van bestanden die u bent verloren, dan is het verkleinen van de zoektocht naar de datum en tijd waarop de bestanden werden verplaatst dus de datum en het tijdstip van het muis ongeluk. De kansen zijn uitstekend u zult al uw bestanden op korte termijn terug kunnen vinden.

U kunt de ingebouwde zoekfunctie van Windows te gebruiken, als u dat wenst.
Ik vind Zoeken in Windows ietwat log. Bij alles wat ik nodig heb is snel en eenvoudig zoeken, ik heb liever een tool zoals Mythicsoft gratis Agent Ransack (site).

Hier is een overzicht van hoe de timestamps gebruiken in uw zoekopdrachten met Agent Plundering. (Natuurlijk kunt u een zoektocht applicatie kunt gebruiken en gewoon de volgende stappen aan te passen.)

* Open Agent Ransack en vink het vakje Expert modus aan in de rechterbovenhoek. (Maak je geen zorgen: ondanks de naam, Expert-modus is gemakkelijk te gebruiken).

* Het veld Bestandsnaam is het belangrijkste dialoogvenster, hier voert u het type bestand in dat u zoekt. Bijvoorbeeld, als u foto's heeft verloren, zou u waarschijnlijk *.jpg invoeren als bestandstype. Als u Office-documenten bent verloren, kunt u * .doc of *.docx in voeren; wanneer u muziekbestanden bent verloren, kunt u * .mp3 voeren; enzovoort.
Voer C: \ in het veld Zoeken in en vink het vakje submappen. (Zie Figuur 2).



Figuur 2 Voor een eenvoudige bestanden zoeken met Agent Ransack, voert u het type bestand (bestandsnaam) en locatie, vervolgens het vakje submappen.

Vervolgens selecteert u het tabblad Datum. Bij de vakken Modified, Gemaakt, en Laatst geopend is een datum-invoerveld, voer de datum in wanneer u uw bestanden bent kwijt geraakt. (Het hoeft niet precies te zijn - gewoon proberen om dichtbij te komen). Bijvoorbeeld, als u uw bestanden verloren heeft op 31 juli kunt u een datum van 30 juli, 29, of 28 selecteren, zoals weergegeven in figuur 3.


Figuur 3 selecteren zoek data enkel voorafgaand aan de dag waarop de bestanden zijn misplaatst

Wanneer u de zoekopdracht start, zal Agent Ransack uw gehele primaire partitie (C: \ en alle submappen) onderzoeken voor alle bestanden die eindigen op .jpg die zijn aangemaakt, gewijzigd of geopend na 30 juli.

Nogmaals, uw verloren bestanden kregen nieuwe timestamps toen ze werden verplaatst. Dus zolang de bestanden nog steeds op uw systeem zijn, moet met de hierboven zoekopdracht de bestanden gemakkelijk te vinden zijn!