15.07.2014, 21:42
wojek napisał(a):Wygląda na to, że HMPA 3 nakłada poważne ograniczenia sprzętowe; oto cytat z manuala (HitmanPro.Alert Exploit Test Tool Manual 1.0):The mentioned hardware isn''t actually a requirement. The exploit mitigations will work quite nicely if you have any other CPU, as mentioned in the same manual, in the same paragraph:
Cytat:HitmanPro.Alert will automatically employ Intel MSR hardware registers when it e.g. detects a 2nd, 3rd or 4th generation (or newer) Core i3, i5 or i7 processor (CPU)To dość poważne restrykcje, bo chyba (?) wykluczają np. procesory Core2Duo, czy Quadcore,
– from 2011 and later – based on microarchitecture codenamed Sandy Bridge 1 , Ivy Bridge 2 , Haswell 3 (or newer); Nehalem and Westmere are not supported.
E.g. desktop and mobile processors with model numbers 2xxx, 3xxx, and 4xxx (e.g. Intel Core i5-4288U) are supported.
które przecież nie są aż takie stare. Wygląda zatem na to, że wielu użytkowników Windows XP
raczej nie nacieszy się HMPA 3, bo często sprzęt z tym OS nie jest już pierwszej młodości.
Jak to w praktyce wygląda, tzn. czy program w ogóle nie działa (i czym się to objawia), lub czy działa tylko
w ograniczonym zakresie (np. nie działają niektóre funkcjonalności), trudno mi powiedzieć.
I jeszcze jedno info: HMPA 3 ma własny test anty-exploitowy, któremu można poddać też MBAE i EMET.
Cytat:HitmanPro.Alert will automatically fallback on software-only Control-Flow Integrity checks if your computer does not have a hardware-assisted CFI supported processor.
Hardware-assisted CFI allows Alert 3 to query the CPU on which branches it took before reaching a checkpoint. This in contrast to EMET which can only traverse the stack to see what is going to happen next. Since the stack is under control of an attacker, you can serve EMET a fake stack, which obviously has consequences. To illustrate, Alert can block this attack just by analyzing the branches the CPU took:
[Aby zobaczyć linki, zarejestruj się tutaj]
We''ve included a ''Jared DeMott'' like exploit in our Exploit Test Tool to illustrate (ROP 4, via CALL). You''ll see that EMET doesn''t detect and Alert does.NOTE: MBAE currently does not mitigate ROP attacks at all.