در دنیای امنیت سایبری، تکنیک‌های مختلفی برای محافظت از سیستم‌ها در برابر حملات وجود دارد و Data Execution Prevention (DEP) یکی از این روش‌های مؤثر است. DEP یک ویژگی امنیتی است که مانع از اجرای کدهای مخرب در بخش‌های خاصی از حافظه سیستم می‌شود و به این ترتیب، بسیاری از حملات مانند سرریز بافر (Buffer Overflow) را خنثی می‌کند. این فناوری که هم در سطح سخت‌افزار و هم در سطح نرم‌افزار پیاده‌سازی شده است، به عنوان یکی از مهم‌ترین راهکارهای امنیتی در سیستم‌عامل‌های مدرن شناخته می‌شود.

DEP چیست؟

Data Execution Prevention (DEP) یک ویژگی امنیتی در سیستم‌های مدرن است که برای جلوگیری از اجرای کدهای مخرب در بخش‌های مشخصی از حافظه طراحی شده است. این فناوری به سیستم‌عامل و سخت‌افزار کمک می‌کند تا از اجرای کدهای غیرمجاز در بخش‌هایی از حافظه که فقط برای ذخیره داده‌ها در نظر گرفته شده‌اند، جلوگیری کند. به‌عنوان مثال، اگر یک مهاجم تلاش کند با استفاده از سرریز بافر (Buffer Overflow) کد مخربی را در بخش داده‌های حافظه قرار داده و اجرا کند، DEP جلوی این اقدام را گرفته و فرآیند مخرب را متوقف می‌کند. 

DEP می‌تواند به دو روش اصلی عمل کند: DEP سخت‌افزاری و DEP نرم‌افزاری. در روش سخت‌افزاری، پردازنده‌های مدرن از بیت‌های خاصی برای مشخص کردن بخش‌های قابل‌اجرا و غیرقابل‌اجرا در حافظه استفاده می‌کنند. در روش نرم‌افزاری، سیستم‌عامل از تکنیک‌های برنامه‌نویسی برای اعمال سیاست‌های امنیتی در حافظه بهره می‌برد. این فناوری از نسخه‌های جدید ویندوز، لینوکس و macOS پشتیبانی شده و به‌عنوان یکی از روش‌های کارآمد برای کاهش خطرات امنیتی شناخته می‌شود.

DEP چگونه کار می‌کند؟

1. مشخص کردن بخش‌های غیرقابل‌اجرا در حافظه:

DEP با استفاده از بیت NX (No eXecute) در پردازنده‌های مدرن یا تکنیک‌های نرم‌افزاری، بخش‌هایی از حافظه را که فقط برای ذخیره داده‌ها هستند، علامت‌گذاری می‌کند تا از اجرای کدهای مخرب در این بخش‌ها جلوگیری شود. این ویژگی مانع از سوءاستفاده مهاجمان از آسیب‌پذیری‌هایی مانند سرریز بافر می‌شود.

2. واکنش سیستم‌عامل به اجرای کد غیرمجاز:

هنگامی که یک برنامه یا کد مخرب تلاش می‌کند کدی را در یک بخش محافظت‌شده از حافظه اجرا کند، سیستم‌عامل بلافاصله پردازش را متوقف کرده و یک خطای امنیتی (Exception) صادر می‌کند. این کار از اجرای حملات جلوگیری کرده و از آسیب‌های احتمالی به سیستم جلوگیری می‌کند.

3. ترکیب DEP سخت‌افزاری و نرم‌افزاری:

DEP می‌تواند هم از طریق پردازنده (NX/XD Bit) و هم از طریق نرم‌افزارهای امنیتی سیستم‌عامل اجرا شود. در پردازنده‌های جدید، این قابلیت به‌صورت سخت‌افزاری فعال است و سیستم‌عامل نیز با مدیریت اجرای برنامه‌ها، از این فناوری برای تقویت امنیت حافظه استفاده می‌کند.

4. سازگاری با برنامه‌های مختلف:

برخی برنامه‌ها ممکن است با DEP ناسازگار باشند. در این موارد، کاربران می‌توانند از طریق تنظیمات سیستم‌عامل DEP را برای برخی برنامه‌ها غیرفعال کنند. اما توصیه می‌شود این کار فقط در موارد ضروری انجام شود، زیرا غیرفعال کردن DEP می‌تواند سطح امنیت سیستم را کاهش دهد.

انواع DEP

DEP سخت‌افزاری

این نوع DEP مستقیماً توسط پردازنده‌های مدرن پشتیبانی می‌شود و به کمک بیت NX (No eXecute) در پردازنده‌های x86 و بیت XD (eXecute Disable) در پردازنده‌های اینتل اجرا می‌شود. پردازنده بخش‌هایی از حافظه را به عنوان غیرقابل‌اجرا (Non-Executable) علامت‌گذاری می‌کند و در صورتی که یک برنامه یا کد مخرب سعی کند از این بخش‌ها اجرا شود، پردازنده بلافاصله اجرای آن را متوقف کرده و خطای امنیتی صادر می‌کند.

با وجود مزایای امنیتی بالا DEP سخت‌افزاری نیازمند پشتیبانی از سمت پردازنده و سیستم‌عامل است. برخی از پردازنده‌های قدیمی این ویژگی را ندارند، و همچنین برخی برنامه‌های ناسازگار ممکن است باعث غیرفعال شدن DEP شوند.

DEP نرم‌افزاری

در این نوع پیاده‌سازی، سیستم‌عامل بدون نیاز به پشتیبانی پردازنده، خود کنترل اجرای کدها در حافظه را بر عهده می‌گیرد. سیستم‌عامل بخش‌هایی از حافظه را به‌عنوان غیرقابل اجرا علامت‌گذاری می‌کند و در صورت تلاش برای اجرای کد از این بخش‌ها، اجرای برنامه متوقف شده و هشدار امنیتی صادر می‌شود. این روش در سیستم‌هایی که پردازنده از DEP سخت‌افزاری پشتیبانی نمی‌کند، یک لایه امنیتی اضافی فراهم می‌کند. 

با این حال DEP نرم‌افزاری معمولاً به اندازه DEP سخت‌افزاری مؤثر نیست، زیرا به کمک روش‌های پیشرفته مانند Code Reuse Attacks (CRA) می‌توان برخی از محدودیت‌های آن را دور زد. با این حال، همچنان به‌عنوان یک راهکار امنیتی مهم در سیستم‌عامل‌هایی مانند ویندوز و لینوکس برای مقابله با سوءاستفاده‌های امنیتی مورد استفاده قرار می‌گیرد.

DEP در سیستم‌عامل‌های مختلف

• ویندوز

مایکروسافت از Windows XP Service Pack 2 به بعد DEP را در سیستم‌عامل‌های خود پیاده‌سازی کرد. در ویندوز، DEP هم به‌صورت سخت‌افزاری و هم نرم‌افزاری پشتیبانی می‌شود. کاربران می‌توانند از طریق Control Panel تنظیمات DEP را برای برنامه‌های خاص تغییر دهند. در نسخه‌های جدیدتر مانند Windows 10 و 11، DEP به‌صورت پیش‌فرض فعال است و بهبودهایی در عملکرد و امنیت آن اعمال شده است. 

• لینوکس

سیستم‌عامل‌های لینوکس از بیت‌های NX/XD برای پیاده‌سازی DEP سخت‌افزاری استفاده می‌کنند. علاوه بر آن ویژگی‌هایی مانند PaX و ExecShield در برخی توزیع‌ها مانند Fedora و Debian برای افزایش امنیت حافظه استفاده می‌شوند. لینوکس همچنین با ترکیب DEP با ASLR (Address Space Layout Randomization) سطح حفاظت بالاتری را در برابر حملات اجرای کدهای مخرب فراهم می‌کند. 

• macOS

اپل از Mac OS X 10.4 (Tiger) به بعد DEP را به‌عنوان بخشی از سیستم امنیتی خود پیاده‌سازی کرد. macOS از ویژگی‌های W^X (Write XOR Execute) استفاده می‌کند که تضمین می‌کند یک بخش از حافظه نمی‌تواند همزمان هم قابل نوشتن و هم قابل اجرا باشد. این ویژگی باعث می‌شود اجرای کدهای مخرب از بخش‌های غیرمجاز حافظه دشوارتر شود. 

• اندروید

سیستم‌عامل اندروید که مبتنی بر هسته لینوکس است DEP را از نسخه Android 4.1 (Jelly Bean) به بعد پیاده‌سازی کرده است. در اندروید، این قابلیت با حفاظت‌های اضافی مانند SELinux ترکیب شده تا از اجرای کدهای مخرب در برنامه‌ها جلوگیری کند. همچنین، در نسخه‌های جدید، گوگل DEP را به همراه تقویت‌های امنیتی دیگر مانند ASLR و Memory Tagging برای محافظت در برابر حملات پیشرفته‌تر توسعه داده است.

مزایا و معایب DEP