Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

初期設定でDEPが有効になっているプロセス

Windows XP SP2やWindows Server 2003 SP1にはデータ実行防止(DEP)が実装されており、初期設定では「重要な Windows のプログラムおよびサービスについてのみ有効にする」が選択されている。
この「重要な Windows のプログラムおよびサービスについてのみ有効にする」の「重要な Windows のプログラムおよびサービス」って、どのプログラムやサービスなのか知りたくなるのは私だけだろうか?
こーゆー重要な情報は開示してくれないと困るなぁ〜と思いながらマイクロソフトのサイトを探したが、まったく見つからずイライラしてきたので"White Shaman(Soft Ballet)"を聴きながら自分で調べた(笑)
Process Explorerを使えば、どのプロセスでDEPが有効なのか表示させることができるので、"Microsoft Corporation"のプロセスについてDEPの状態を表にまとめてみた。

Process Description Company Name DEP Status
alg.exe Application Layer Gateway Service Microsoft Corporation On
cidaemon.exe Indexing Service filter daemon Microsoft Corporation On
cidaemon.exe Indexing Service filter daemon Microsoft Corporation On
cisvc.exe Content Index service Microsoft Corporation On
csrss.exe Client Server Runtime Process Microsoft Corporation On
ctfmon.exe CTF Loader Microsoft Corporation On
explorer.exe Windows Explorer Microsoft Corporation On
IEXPLORE.EXE Internet Explorer Microsoft Corporation Off
inetinfo.exe Internet Information Services Microsoft Corporation Off
lsass.exe LSA Shell (Export Version) Microsoft Corporation On
MDM.EXE Machine Debug Manager Microsoft Corporation Off
services.exe Services and Controller app Microsoft Corporation On
smss.exe Windows NT Session Manager Microsoft Corporation On
spoolsv.exe Spooler SubSystem App Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
svchost.exe Generic Host Process for Win32 Services Microsoft Corporation On
uphclean.exe User Profile Hive Cleanup Service Microsoft Corporation Off
wdfmgr.exe Windows User Mode Driver Manager Microsoft Corporation Off
winlogon.exe Windows NT Logon Application Microsoft Corporation On
wmplayer.exe Windows Media Player Microsoft Corporation Off

私の実験環境(Windows XP SP2 Japanese)で採取した情報だが、IEXPLORE.EXE(Internet Explorer)、inetinfo.exe(Internet Information Services)、wmplayer.exe(Windows Media Player)ではDEPが無効なことに少々驚いた。
たしかに「重要な Windows のプログラムおよびサービス」ではないかもしれないが、これらは攻撃対象として狙い目のプロセスだ。
他のプロセスについても私が調べて一覧表を作っても良いが、できればマイクロソフトからこういった情報は可能な範囲でも良いから公開して欲しいものだ。