Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

初期設定でDEPが有効になっているプロセス(Windows Vista)

初期設定でDEPが有効になっているプロセスでは、Windows XP SP2の初期設定でDEPが有効になっているプロセスについて書いてみた。
これが予想以上に好評で「Vistaではどうなんですか?」という質問も多かったので、今回はWindows Vista Ultimateの初期設定でDEPが有効になっているプロセスについて"Phoenix(Soft Ballet)"を聴きながら調べてみた。
ちなみに使用したProcess Explorerのバージョンはv10.21だ。

Process Description Company Name DEP Status
audiodg.exe Windows オーディオ デバイス グラフ アイソレーション Microsoft Corporation (不明)
csrss.exe クライアント サーバー ランタイム プロセス Microsoft Corporation On
dwm.exe デスクトップ ウィンドウ マネージャ Microsoft Corporation On
explorer.exe エクスプローラ Microsoft Corporation Off
ieuser.exe Internet Explorer Microsoft Corporation On
iexplore.exe Internet Explorer Microsoft Corporation Off
lsass.exe ローカル セキュリティ機関のプロセス Microsoft Corporation On
lsm.exe ローカル セッション マネージャ サービス Microsoft Corporation On
MSASCui.exe Windows Defender User Interface Microsoft Corporation On
mscorsvw.exe .NET Runtime Optimization Service Microsoft Corporation On
SearchFilterHost.exe Microsoft Windows Search Filter Host Microsoft Corporation On
SearchIndexer.exe Microsoft Windows Search Indexer Microsoft Corporation On
SearchProtocolHost.exe Microsoft Windows Search Protocol Host Microsoft Corporation On
services.exe サービスとコントローラ アプリケーション Microsoft Corporation On
SLsvc.exe Microsoft ソフトウェア ライセンス サービス Microsoft Corporation On
smss.exe Windows Session Manager Microsoft Corporation On
spoolsv.exe スプーラ サブシステム アプリケーション Microsoft Corporation On
svchost.exe Windows サービスのホスト プロセス Microsoft Corporation On
taskeng.exe タスク スケジューラ エンジン Microsoft Corporation On
wininit.exe Windows スタートアップ アプリケーション Microsoft Corporation On
winlogon.exe Windows ログオン アプリケーション Microsoft Corporation On
wmplayer.exe Windows Media Player Microsoft Corporation Off
wmpnetwk.exe Windows Media Player ネットワーク共有サービス Microsoft Corporation On
wmpnscfg.exe Windows Media Player ネットワーク共有サービス構成アプリケーション Microsoft Corporation On
wuauclt.exe Windows Update Automatic Updates Microsoft Corporation On

結果としては、Windows XP SP2でDEPが無効なiexplore.exe(Internet Explorer)とwmplayer.exe(Windows Media Player)は、Windows Vistaでも同様にDEPが無効になっていた。ただ、Internet Explorerについてはieuser.exeのDEPが有効なので、Internet Explorerが攻撃にさらされた場合どのようなことになるのかは、未だ調査していなので不明である。
またWindows XP SP2でDEPが無効なinetinfo.exe(Internet Information Services)は、Windows VistaではInternet Information Servicesがinetinfo.exeではなく"svchost.exe -k iissvcs"となっていることからDEPが有効と思われる。
注目すべき点はWindows XP SP2ではDEPが有効なexplorer.exeが、Windows VistaではDEPが無効になっていることだ。
正直、これには驚いた。
Windows Vistaexplorer.exeは「重要な Windows のプログラムおよびサービス」では無いということだろうか。
うーん、予想外だ・・・・

追記(2007年2月25日)
初期設定でDEPが有効になっているプロセス