管理員模式運行CMD進入DOS模式，輸入"bcdedit /set nx OptIn"（雙引號內(nèi)文字），然后重啟計算機。

DEP的安全機制

    DEP(Data Execution Prevention)即“數(shù)據(jù)執(zhí)行保護”，這是Windows的一項安全機制，主要用來防止病毒和其他安全威脅對系統(tǒng)造成破壞。微軟從Windows XP SP2引入了該技術(shù)，并一直延續(xù)到此后的Windows Server 2003、Windows Server 2008中。毫無例外，在Windows 7中DEP也作為一項安全機制被引入進來。本文將對Windows 7下的DEP進行一番解析。

1、DEP的安全機制

　　可以說，溢出是操作系統(tǒng)(應(yīng)用軟件)永遠的痛，Windows 7自然也不例外。所謂溢出主要指緩沖區(qū)溢出，就是利用系統(tǒng)(應(yīng)用軟件)漏洞從只有Windows和其他程序可以使用的內(nèi)存位置執(zhí)行惡意代碼從而達到控制系統(tǒng)的目的。如前所述，緩沖區(qū)溢出攻擊經(jīng)常在其它程序的內(nèi)存緩沖區(qū)寫入可執(zhí)行的惡意代碼，然后誘騙程序執(zhí)行惡意代碼。使用DEP的目的是阻止惡意插入代碼的執(zhí)行，其運行機制是，Windows利用DEP標(biāo)記只包含數(shù)據(jù)的內(nèi)存位置為非可執(zhí)行(NX)，當(dāng)應(yīng)用程序試圖從標(biāo)記為NX的內(nèi)存位置執(zhí)行代碼時，Windows的DEP邏輯將阻止應(yīng)用程序這樣做，從而達到保護系統(tǒng)防止溢出。

2、DEP的實現(xiàn)方式

　　微軟DEP實現(xiàn)采用了兩種方式，即硬件強制DEP和軟件強制DEP。硬件強制DEP，這需要處理器的支持，不過現(xiàn)在大多數(shù)處理器是支持DEP的。軟件強制DEP，這是由Windows操作系統(tǒng)在系統(tǒng)內(nèi)存中為保存的數(shù)據(jù)對象自動添加的一組特殊指針提供。如何知道自己的處理器是否支持DEP呢？右鍵單擊桌面上的“計算機”圖標(biāo)，選擇“屬性”，在打開的“系統(tǒng)”窗口中點擊“高級系統(tǒng)設(shè)置”鏈接打開“系統(tǒng)屬性”面板。在“高級”選項卡頁面中的“性能”下點擊“設(shè)置”打開“性能選項”面板。點擊“數(shù)據(jù)執(zhí)行保護”選項卡，在該頁面中我們可確認(rèn)自己計算機的處理器是否支持DEP。如果支持會在底部的一行顯示“你的計算機處理器支持基于硬件的DEP。”，反之會顯示“你的計算機處理器不支持基于硬件的DEP，不過，Windows能使用DEP軟件防止一些類型的攻擊?！?圖1)

3、DEP的運行級別

　　在Windows 7中，DEP默認(rèn)是激活的。不過，DEP不能保護系統(tǒng)中所有運行的應(yīng)用程序，實際DEP能夠保護的程序列表由DEP的保護級別定義。DEP支持兩種保護級別：級別1，只保護Windows系統(tǒng)代碼和可執(zhí)行文件，不保護系統(tǒng)中運行的其它微軟或第三方應(yīng)用程序；級別2，保護系統(tǒng)中運行的所有可執(zhí)行代碼，包括Windows系統(tǒng)代碼和微軟或第三方應(yīng)用程序。默認(rèn)情況下，Windows 7的DEP運行在級別1的保護狀態(tài)下。在“數(shù)據(jù)執(zhí)行保護”配置面板中，我們能夠設(shè)置DEP的保護級別。如圖所示筆者的Windows 7默認(rèn)“只為基本的Windows程序和服務(wù)激活了DEP”，即DEP保護級別為1。當(dāng)然，我們也可選擇“除了以下所選擇的，為所有程序和服務(wù)打開DEP” 切換到DEP保護級別2。

　　在保護級別Level 2可以選擇特定的應(yīng)用程序不受DEP保護。在實際應(yīng)用中，這個功能非常重要，因為一些老的應(yīng)用程序在激活DEP時無法正常運行。 例如，我我們在使用Word進行文本編輯時，它會自動被排除在DEP保護之外。需要注意的是，在將DEP保護切換到級別2之前，必須運行應(yīng)用程序兼容性測試，確保所有的應(yīng)用程序在DEP激活時能正常運行。從DEP中排除應(yīng)用程序， 需要在DEP配置頁面使用“添加”按鈕，將應(yīng)用程序的可執(zhí)行文件加入到排除列表中。(圖2)

除了上述方法外，我們還可以通過一個工具排除應(yīng)用程序的DEP保護。這個工具就是DisableNX，它是微軟應(yīng)用程序兼容性套件(Microsoft Application Compatibility Toolkit )中的一個工具，該套件的最新版本為5.5，大家可以訪問微軟官方網(wǎng)站下載獲得，下載地址是：http://www.microsoft.com/downloa ... 0-b45e-492dd6da2971。
該工具的使用比較簡單，大家可根據(jù)命令幫助完成排錯操作。

4、查看應(yīng)用程序是否受到DEP保護

　　在Windows 7中，我們?nèi)绾沃缿?yīng)用程序是否受到DEP保護呢？其實，通過任務(wù)管理器我們可以查看到我們想要知道的信息。不過，默認(rèn)情況下Windows 7的任務(wù)管理器并不顯示應(yīng)用程序的DEP列，需要手動操作將其調(diào)出來。在任務(wù)欄上單擊鼠標(biāo)右鍵選擇“啟動任務(wù)管理器”，在Windows 任務(wù)管理器窗口中單擊“查看”菜單選擇“選擇列”，然后從選擇進程頁列中找到并勾選“數(shù)據(jù)執(zhí)行保護”項即可。這樣就會在任務(wù)管理器中添加“數(shù)據(jù)執(zhí)行保護”列，在其下面我們可以看到進程的DEP狀態(tài)(啟用或者停用)。筆者的Windows 7系統(tǒng)選擇的是級別1，可以看到所有的系統(tǒng)進程進程都是啟用了DEP保護，而非系統(tǒng)進程比如“WinRar”則DEP狀態(tài)為“停用”。不過，筆者這里要說明一下：雖然有些非系統(tǒng)的應(yīng)用程序，但其DEP狀態(tài)為“啟用”(比如筆者系統(tǒng)中運行的“Windows 7優(yōu)化大師”)，這是因為這些應(yīng)用程序在安裝過程中會創(chuàng)建并注冊成系統(tǒng)服務(wù)，所以在Windows看來它也是系統(tǒng)進程，當(dāng)然也就會執(zhí)行DEP保護。(圖3)

5、如何關(guān)閉DEP保護

　　需要提醒的是，當(dāng)DEP運行在保護級別為2時，由于需要在處理器和系統(tǒng)內(nèi)存運行所有的DEP檢查，會影響系統(tǒng)性能，使得系統(tǒng)運行將會變慢一些，所以在某些情況下我們可以考慮完全關(guān)閉DEP保護。我們知道在DEP設(shè)置面板中是不提供關(guān)閉DEP選項的，那如何關(guān)閉呢？如果是Vista以前的系統(tǒng)，我們可以通過修改Boot.ini文件，在其中添加NoExecute=Always0ff語句來關(guān)閉。而在Windows Vista、Windows Server 2008和Windows 7中，boot.ini文件已經(jīng)被啟動配置數(shù)據(jù)(Boot Configuration Data)即BCD文件所代替，不過我們可以使用微軟提供的命令行工具bcdedit.exe來編輯BCD文件。

　　我們在命令提示符下運行不帶有任何參數(shù)的bcedit命令，可以看到當(dāng)前的啟動配置，如圖所示顯示了在Windows 7下運行bcdedit的結(jié)果，其中最后一行顯示nx OptIn，表示當(dāng)前的DEP保護級別為1，如果顯示為OptOut則表示當(dāng)前的EDP保護級別為2。如果我們要關(guān)閉DEP，只需將nx設(shè)置為Always0ff即可。在命令行下執(zhí)行命令“bcdedit /set nx alwaysoff”，重啟系統(tǒng)后Windows 7的DEP就關(guān)閉了。反之，如果要開啟所有服務(wù)和應(yīng)用程序的DEP，執(zhí)行命令“bcdedit /set nx alwayson”就可以了。(圖4)

　　總結(jié)：其實DEP并不是醫(yī)治Windows系統(tǒng)緩沖區(qū)溢出問題的萬能解藥，它的意義在于使得惡意軟件難以利用緩沖區(qū)溢出。而且DEP提供的緩沖區(qū)溢出保護也有一定的副作用，就是是被DEP阻止的應(yīng)用程序通常將被掛起，即使DEP停止了惡意程序執(zhí)行惡意代碼，但是這種情況為惡意程序啟動DOS攻擊創(chuàng)造了新的機會。最后說明一點，本文有關(guān)DEP的解析雖然以Windows 7為例，但大部分也適用于Windows Vista和Windows Server 2008。希望本文對于大家認(rèn)識DEP和理解Windows的安全機制有所幫助。