Windows XP SP2やWindows Server 2003 SP1にはデータ実行防止(DEP)が実装されており、初期設定では「重要な Windows のプログラムおよびサービスについてのみ有効にする」が選択されている。
この「重要な Windows のプログラムおよびサービスについてのみ有効にする」の「重要な Windows のプログラムおよびサービス」って、どのプログラムやサービスなのか知りたくなるのは私だけだろうか?
こーゆー重要な情報は開示してくれないと困るなぁ〜と思いながらマイクロソフトのサイトを探したが、まったく見つからずイライラしてきたので"White Shaman(Soft Ballet)"を聴きながら自分で調べた(笑)
Process Explorerを使えば、どのプロセスでDEPが有効なのか表示させることができるので、"Microsoft Corporation"のプロセスについてDEPの状態を表にまとめてみた。
Process | Description | Company Name | DEP Status |
---|---|---|---|
alg.exe | Application Layer Gateway Service | Microsoft Corporation | On |
cidaemon.exe | Indexing Service filter daemon | Microsoft Corporation | On |
cidaemon.exe | Indexing Service filter daemon | Microsoft Corporation | On |
cisvc.exe | Content Index service | Microsoft Corporation | On |
csrss.exe | Client Server Runtime Process | Microsoft Corporation | On |
ctfmon.exe | CTF Loader | Microsoft Corporation | On |
explorer.exe | Windows Explorer | Microsoft Corporation | On |
IEXPLORE.EXE | Internet Explorer | Microsoft Corporation | Off |
inetinfo.exe | Internet Information Services | Microsoft Corporation | Off |
lsass.exe | LSA Shell (Export Version) | Microsoft Corporation | On |
MDM.EXE | Machine Debug Manager | Microsoft Corporation | Off |
services.exe | Services and Controller app | Microsoft Corporation | On |
smss.exe | Windows NT Session Manager | Microsoft Corporation | On |
spoolsv.exe | Spooler SubSystem App | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
svchost.exe | Generic Host Process for Win32 Services | Microsoft Corporation | On |
uphclean.exe | User Profile Hive Cleanup Service | Microsoft Corporation | Off |
wdfmgr.exe | Windows User Mode Driver Manager | Microsoft Corporation | Off |
winlogon.exe | Windows NT Logon Application | Microsoft Corporation | On |
wmplayer.exe | Windows Media Player | Microsoft Corporation | Off |
私の実験環境(Windows XP SP2 Japanese)で採取した情報だが、IEXPLORE.EXE(Internet Explorer)、inetinfo.exe(Internet Information Services)、wmplayer.exe(Windows Media Player)ではDEPが無効なことに少々驚いた。
たしかに「重要な Windows のプログラムおよびサービス」ではないかもしれないが、これらは攻撃対象として狙い目のプロセスだ。
他のプロセスについても私が調べて一覧表を作っても良いが、できればマイクロソフトからこういった情報は可能な範囲でも良いから公開して欲しいものだ。