当前各类零日(0day)漏洞频发,不论是操作系统还是第三方应用软件。对于操作系统的漏洞,微软通常会及时发布更新补丁来修复,但对于一些第三方软件来说,修复漏洞可能要等很长时间,因此有专业人士建议所有Windows用户可以采用微软的EMET安全工具来进行预防。
EMET全名是Enhanced Mitigation Experience Toolkit,这是一个简单而又强大的配置工具,它可以对第三方应用程序进行强化,使这些程序能够利用到Windows自身的一些安全保护功能。EMET可以运行在Windows XP(SP3)、Vista(SP1或更高)、Windows 7以及Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 (SP1或更高)系统上。
EMET可以提供数据执行保护功能(DEP),这是自XP SP2起加入的安全功能。DEP可以强制阻止位于内存中的可执行代码运行,仅允许纯数据内容,这样就能预防常见的漏洞利用方式。通过EMET就可以让原本不具备DEP功能的应用程序获得这项功能。
此外,用户也可以借助EMET来克服一个地址空间布局随机化(ASLR)的限制。ASLR简而言之就是将预先加载的内容基址随机分配,这样能避免通过预测来访问指定内存地址中具有漏洞的对象来进行攻击。问题在于ASLR仅用于每个进程的基本进程,与该进程相关联的DLL动态连接库依然采用指定地址分配,若这个DLL存在漏洞,它依然存在被利用的风险。EMET能够强制让DLL的地址分配也随机化,这样就能防止所有这种形式的攻击手段。
其他方面,EMET还能对抗一些黑客常用的攻击手段,如“堆喷射(heap spraying)”技术。
安装很简单,跟随向导即可,安装完也无需重启系统,需要注意的地方只有一个,它需要.Net 2.0才能运行。
整个界面分为两部分,上半部分为系统全局状况,下半部分则是当前所有运行中的进程,是否支持DEP,是否被EMET强化过。
