Что такое предотвращение выполнения данных
Предотвращение выполнения данных (DEP) – это средство защиты компьютера от вирусов и других угроз безопасности. DEP проверяет программы, контролируя безопасность использования ими системной памяти.
Если программа пытается запустить (выполнить) код из памяти в неправильный образ, DEP ее закрывает. Функция DEP осуществляет автоматический контроль важных программ и служб Windows, однако уровень защиты можно увеличить, настроив DEP на .
Безопасно ли запускать программу, закрытую функцией DEP
Да, но только если функция DEP остается включенной для этой программы, чтобы Windows могла продолжать выявление попыток выполнения кода с защищенных участков памяти и помогать в предотвращении атак.
Почему DEP продолжает закрывать программу
В таком случае программа может не запускаться надлежащим образом, если функция DEP включена. Перед изменением каких-либо параметров DEP проверьте, является ли данная версия программы совместима с DEP, а также существует ли обновленная версия от издателя программного обеспечения.
Как предотвратить закрытие функцией DEP программы
Во-первых, см. на сайте издателя программного обеспечения, или доступна совместимая с DEP версия программы. Если издатель не выпустил обновленную, совместимую с DEP версию можно отключить DEP для программы, которая была закрыта. Эту программу можно будет использовать, но она может стать уязвимой к атакам, которые могут распространиться на другие программы и файлы.
Если для определенной программы отключить DEP, желательно периодически проверять наличие обновленной версии этой программы и после ее обновления снова включить DEP.
Что делать, если функция DEP закрывает службу Windows
Программы svchost.exe и explorer.exe являются частями операционной системы Windows. Если DEP закрывает их или другие службы Windows, это может быть вызвано меньшими программами, например, расширениями, которые создаются другими издателями программного обеспечения функционируют внутри Windows .
Если вскоре после установки определенной программы DEP закрывает программы, входящие в состав Windows, проверьте наличие у издателя обновленной, совместимой с функцией DEP версии, или попробуйте ее удалить.
Работает ли DEP без аппаратного предотвращения выполнения данных
Да. DEP – это программное средство Windows. В некоторых процессорах существует также функция аппаратного предотвращения выполнения данных, которая обозначается разными названиями.
В таких процессорах для предотвращения выполнения программами кодов в защищенных участках памяти используется аппаратная технология. Если процессор не поддерживает аппаратное предотвращение выполнения данных, Windows предотвратит выполнение данных с помощью программной функции DEP, защищая компьютер.
DEP в Windows – это своего рода «предохранитель» системы, который включает в себя специализированные аппаратные и программные технологии, осуществляющие проверку оперативной памяти и ее содержимого и, в случае возникновения угрозы, могут прекращать работу вредоносного кода.
DEP отлично блокирует множество вирусов, ориентированных на работу в оперативной памяти системы, после чего начинает процесс исполнения собственных кодов. Для пользователя это выглядит следующим образом: если DEP регистрирует неправильное использование оперативной памяти, то на экране появляется сообщение об ошибке, а вредоносная программа принудительно прекращает свою работу. Это очень важно для операционной системы.
Как отключить DEP в системе Windows Xp/7/8
Для того чтобы отключить DEP в XP необходимо через учетную запись администратора перейти в Пуск-Настройки, затем в Панели управления найти раздел «Система».
В появившемся окне нужно сделать активной вкладку Дополнительно, в которой перейти по кнопке «Параметры быстродействия».
В новом диалоговом окне открыть «Предотвращение выполнения данных» и набрать действующий пароль от учетной записи админа ОС. В этом же диалоговом окне можно отключить DEP для конкретной программы, для этого достаточно установить флажок напротив ее названия или добавить в список через кнопку «Добавить».
Для 7 и 8 версий Windows самый простой и оперативный способ отключить DEP – через командную строку. Чтобы получить быстрый доступ к командной строке достаточно набрать «cmd» в строке поиска меню «Пуск». Cmd необходимо запускать только от имени администратора (клик по cmd правой кнопкой и выбор соответствующего пункта), при необходимости введите запрашиваемый пароль.
В открывшемся черном окне введите специальную команду:
bcdedit.exe /set {current} nx AlwaysOff.
В результате появится сообщение об успешном завершении операции. Остается только перезагрузить систему.
Как включить dep в Windows Xp/7/8
Для XP процесс включения DEP аналогичен процессу выключения – достаточно в том же диалоговом окне меню параметров быстродействия вернуть флажок на пункт Включить. Если производилась выборочная деактивация, то активируются отключенные программы из списка в этом же окне настроек.
В случае с 7 и 8 Windows команда, вводимая в cmd, меняется на:
bcdedit.exe /set {current} nx AlwaysOn.
Следует иметь ввиду, что DEP может не поддерживаться на аппаратном уровне процессором компьютера. В основном это касается устаревших процессоров и большинства одноядерных процессоров фирмы Intel. В таких случаях DEP работает исключительно на программном уровне, ограничиваясь базовыми службами и программами Windows.
Деактивация DEP поможет в случае, когда из-за конфликта в системе не запускается приложение, необходимое пользователю. Однако необходимо учитывать, что с отключенным DEP компьютер становится более уязвимым, поэтому конфликтное приложение нужно предварительно проверить антивирусом, если нет полной уверенности в его надежности.
Всем привет сегодня расскажу как отключить DEP в Windows.
В этой инструкции поговорим о том, как отключить DEP (Data Execution Prevention, предотвращение выполнения данных) в Windows 7, 8 и 8.1. То же самое должно работать и в Windows 10. Отключение DEP возможно как для системы в целом, так и для отдельных программ, при запуске которых появляются ошибки Data Execution Prevention.
Смысл технологии DEP заключается в том, что Windows, опираясь на аппаратную поддержку NX (No Execute, для процессоров AMD) или XD (Execute Disabled, для процессоров Intel) предотвращает выполнение исполняемого кода из тех областей памяти, которые помечены как не исполняемые. Если проще: блокирует один из векторов атаки вредоносного ПО.
Однако, для некоторого ПО включенная функция предотвращения выполнения данных может послужить причиной появления ошибок при запуске - встречается это и для прикладных программ, и для игр. Ошибки вида «Инструкция по адресу обратилась к памяти по адресу. Память не может быть read или written» тоже могут иметь своей причиной DEP.
Отключение DEP для Windows 7 и Windows 8.1 (для всей системы)
Первый способ позволяет отключить DEP для всех программ и служб Windows. Для этого откройте командную строку от имени Администратора - в Windows 8 и 8.1 это можно сделать с помощью меню, которое открывается правым кликом мыши по кнопке Пуск, в Windows 7 вы можете найти командную строку в стандартных программах, кликнуть по ней правой кнопкой мыши и выбрать «Запуск от имени Администратора».
В командной строке введите
bcdedit.exe /set {current} nx AlwaysOff
и нажмите Enter. После этого перезагрузите ваш компьютер: при следующем входе в данную систему DEP будет отключен.
Кстати, при желании, с помощью bcdedit вы можете создать в меню загрузки и выбора системы отдельную запись с отключенным DEP и использовать ее тогда, когда это требуется.
Примечание: для того, чтобы включить DEP в дальнейшем используйте ту же команду с атрибутомAlwaysOn вместо AlwaysOff .
Два способа отключить DEP для отдельных программ
Более разумным может быть отключение предотвращения выполнения данных для отдельных программ, вызывающих ошибки DEP. Сделать это можно двумя способами - через изменение дополнительных параметров системы в панели управления или с помощью редактора реестра.
В первом случае, зайдите в Панель управления - Система (можно также кликнуть по значку Мой компьютер правой кнопкой и выбрать Свойства ). Выберите в списке справа пункт Дополнительные параметры системы , затем на вкладке Дополнительно нажмите кнопку Параметры в разделе Быстродействие .
Откройте вкладку «Предотвращение выполнения данных», отметьте пункт «Включить DEP для всех программ и служб, кроме выбранных ниже» и с помощью кнопки «Добавить» укажите пути к исполняемым файлам программ, для которых нужно отключить DEP. После этого желательно так же перезагрузить компьютер.
Предотвращение выполнения данных (Data Execution Prevention, DEP) - это технология защиты оперативной памяти. Компьютер с помощью DEP помечает все ячейки памяти, используемые приложениями, как неисполняемые «только для данных», если ячейка не содержит исполняемого кода в явном виде.
Если приложение пытается выполнить код со страницы памяти, помеченной как неисполняемая, процессор может сгенерировать исключение и предотвратить исполнение кода.
Таким образом, система помешает вредоносной программе (например, вирусу) внедриться в память компьютера. Позволяя только особым областям памяти запускать исполняемый код, DEP защищает компьютер от многих типов самовоспроизводящихся вирусов. Предотвращение выполнения данных может быть аппаратным и программным.
Аппаратное DEP более надежно, так как распространяется на все программы и службы, исполняемые на компьютере. Программное DEP, как правило, служит хорошей защитой только программ и служб Windows.
Компании Advanced Micro Devices (AMD) и Intel поставляют совместимые с Windows процессоры, поддерживающие функцию DEP.
Начиная с пакета обновления 2 (SP2) для Windows XP 32-разрядная версия Windows использует один из следующих методов.
- Функцию no-execute page-protection (NX), разработанную компанией AMD.
- Функцию Execute Disable Bit (XD), разработанную компанией Intel.
Чтобы использовать указанные функции, необходимо, чтобы процессор работал в режиме расширения физических адресов (Physical Address Extension, PAE). Windows автоматически включает режим PAE для поддержки функции DEP, поэтому пользователям не нужно отдельно включать PAE.
Physical Address Extension (PAE) - режим работы встроенного блока управления памятью x86-совместимых процессоров, в котором используются 64-битные элементы таблиц страниц (из которых для адресации используются только 36 бит), c помощью которых процессор может адресовать 64 ГБ физической памяти (вместо 4 ГБ, адресуемых при использовании 32-разрядных таблиц), хотя каждая задача (программа) всё равно может адресовать максимум до 4 ГБ виртуальной памяти.
64-разрядные версии Windows также поддерживают функцию NX, но режим работы с оперативной памятью РАЕ для них не обязателен. Кроме того, для 64-разрядных компьютеров возможны разные конфигурации памяти.
Чтобы узнать, поддерживают ли аппаратные средства вашего компьютера DEP, выполните следующие действия.
1. Откройте меню Пуск и выберите Панель управления.
Меню Пуск — Панель управления
5. Откройте вкладку Предотвращение выполнения данных. Внизу вы найдете информацию о поддержке DEP.
Во вкладке Предотвращение выполнения данных можно настроить работу DEP с помощью следующих параметров.
- Включить DEP только для основных программ и служб Windows. DEP работает только для сервисов, программ и компонентов операционной системы. Это параметр включен по умолчанию. Его рекомендуется выбирать, если компьютер поддерживает предотвращение выполнения и оно настроено правильно.
- Включить DEP для всех программ и служб, кроме выбранных ниже. DEP работает для всей операционной системы, а также для программ и сервисов, которые вы запускаете.
Поскольку некоторые приложения могут работать нестабильно или вообще не будут работать при программном DEP, для них придется сделать исключение.
Щелкните на кнопке Добавить… и выберите программы, для которых вы хотите отключить предотвращение выполнения.
Обратите внимание, в 64-разрядных версиях Windows механизм DEP всегда включен для 64-разрядных приложений. Поэтому если вы пожелаете его включить для 64-разрядных приложений, то появится диалоговое окно «Вы не можете задать атрибуты DEP для 64-разрядных исполняемых файлов».
Как убедиться, что аппаратная функция DEP работает в Windows
Чтобы убедиться, что аппаратная функция DEP работает в Windows, воспользуйтесь одним из следующих способов.
Способ 1. Используйте средство командной строки Wmic
С помощью средства командной строки Wmic можно проверить параметры DEP. Чтобы определить, доступна ли аппаратная функция DEP, выполните следующие действия:
wmic OS Get DataExecutionPrevention_Available
Если в результате будет получено значение TRUE, аппаратная функция DEP включена.
Если FALSE, значит аппаратная функция DEP выключена. Включить ее можно в настройках BIOS. Как это сделать - лучше посмотреть документацию к материнской плате вашего компьютера.
Параметр no-execute page-protection (NX) включает аппаратный DEP на платах с чипсетом от AMD, а параметр Execute Disable Bit (XD) - на платах с чипсетами от Intel.
Чтобы определить текущую политику поддержки DEP, выполните следующие действия.
1. В меню Пуск меню Пуск введите в поле Поиска команду cmd и нажмите кнопку ВВОД.
2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
wmic OS Get DataExecutionPrevention_SupportPolicy
В результате выполнения команды будет возвращено значение 0, 1, 2 или 3.
Эти значения соответствуют политикам поддержки DEP, описанным ниже.
2 — OptIn (конфигурация по умолчанию) — Функция DEP включена только для системных компонентов и служб Windows
3 – OptOut — Функция DEP включена для всех процессов. Администратор может вручную создать список приложений, для которых функция DEP отключена
1 – AlwaysOn — Функция DEP включена для всех процессов
0 – AlwaysOff — Функция DEP отключена для всех процессов
Преимущества DEP
Основным преимуществом, которое предоставляет функция DEP, является возможность предотвратить запуск кода из областей данных (таких как куча, стек или пул памяти). Как правило, содержимое стека и кучи по умолчанию не является исполняемым кодом.
При аппаратной реализации функция DEP вызывает исключение при запуске кода из указанных местоположений. Если исключение остается необработанным, то процесс останавливается. В режиме ядра исполнение кода, находящегося в защищенной памяти, вызывает появление стоп-ошибки.
Функция DEP позволяет отразить целый класс атак. В частности, DEP позволяет блокировать вредоносные программы, в результате работы которых вирус помещает в процесс дополнительный код, а затем пытается выполнить этот код. В системах, поддерживающих функцию DEP, выполнение такого кода вызывает исключение.
В этой статье будет рассказано о том, как можно включить/отключить в системе функции DEP (Data Execution Prevention, или иначе, ) на ОС Windows 7, 8, 10. При этом, система, опираясь на аппаратную составляющую устройства, производит блокировку исполняемого кода в тех областях, которые помечены, как неисполняемые. Фактически, производится блокировка возможности атаки вирусного ПО с этой стороны.
Однако, данная опция может блокировать и вполне «мирные» приложения и игры, при их запуске могут выдавать ошибки, вроде «Инструкция обратилась к памяти по адресу. Память не может быть read или written». Отключить dep можно для всей системы или же для одного конкретного приложения.
Отключение DEP для всей системы
Для начала, пользователю потребуется запустить командную строку от имени администратора, сделать это можно через меню пуск, найдя соответствующее приложения, щелкнув по нему ПКМ и нажав на нужный пункт меню. В консоли нужно ввести оператор bcdedit.exe /set {current} nx AlwaysOff и выполнить его.
После выполнения команды потребуется перезапустить компьютер. Для включения опции стоит использовать ту же команду, только заменить последнее слово на AlwaysOn .
Отключение для определенной программы
В случае, если требуется отключить опцию только для нескольких определенных приложений, есть способ проще, чем использование командной строки. Можно зайти в панель управления , оттуда перейти в раздел Система . Откроется окно с ее свойствами, необходимо перейти на вкладку Дополнительно , перейти к пункту быстродействие и щелкнуть по параметрам.
Откроется окно, в котором следует перейти на вкладку под названием предотвращение выполнения данных
. Здесь можно будет выбрать второй пункт, в котором потребуется указать утилиту, для которой будет отключен dep, их сюда можно добавлять в неограниченном количестве, хоть все.
Используем редактор реестра
В случае, если предыдущий метод не помог, можно использовать редактор реестра для внесения нужных изменений. Не стоит забывать, что работать с ним нужно очень осторожно, не менять и не удалять переменные просто так. Лучше всего будет создать резервную копию ветки реестра перед редактированием, также можно создать новую точку восстановления, чтобы было куда откатить компьютер, в случае сбоев.
После того, как предварительные меры будут приняты, можно приступать к действиям. Для начала нужно нажать на win+
r
и написать в появившемся окне regedit
. После этого откроется приложение для редактирования реестра, в нем следует пройти по пути. Теперь будет нужно щелкнуть по пустому месту в правой части окна правой кнопкой мыши и выбрать Создать
во всплывшем меню, потом нужно кликнуть по строковому параметру. Новая переменная должна содержать в качестве имени полный путь к программе, для которой нужно отключить dep.
В качестве значения должно содержаться DisableNXShowUI . Дальше останется только перезагрузить компьютер, нужная опция будет отключена для указанных приложений.
Включение DEP
Для включения опции придется вспомнить то, каким образом она была отключена. Если выключение производилось для всей системы, то опция, в которую можно попасть через панель управления, будет просто недоступна.
Так что в этом случае потребуется снова вызвать командную строку с правами администратора и ввести там оператор bcdedit.exe /set {current} nx AlwaysO n . Далее потребуется перезагрузка устройства, после чего, функция снова станет работоспособной и ее можно станет отключать только для некоторых приложений.
Если же отключение производилось через панель управления, то пользователю потребуется зайти в параметры быстродействия и удалить из списка отключенных нужное приложение, либо, вообще, переключиться на первый пункт и активировать dep для всех программ.
Если отключение производилось через реестр, то нужно снова зайти в него, пройти по пути HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers и удалить там те параметры, которые отвечают за нужные приложения, либо удалить все.
