NX-Bit

Das NX-Bit (No eXecute) ist eine Technik von Prozessoren der x86-Familie zur Verbesserung der Sicherheit eines Computers. Sie soll verhindern, dass beliebige Daten als Programmcode ausgeführt werden und auf diese Weise Schadcode starten, wie z. B. Viren, Backdoors u. ä. Bei Windows-Betriebssystemen (ab Windows-XP SP2) wird die Technik auch als Data Execution Prevention[1] (kurz DEP; deutsch Datenausführungsverhinderung) bezeichnet.

Ähnliche Techniken gibt es auf anderen Prozessorarchitekturen schon länger, etwa beim PowerPC von IBM, beim Sun SPARC und bei den Alpha-Prozessoren.

Geschichte

Seit dem Intel-80286-Prozessor besteht im sogenannten Protected Mode die Möglichkeit, einzelne Speichersegmente als ausführbar (Code-Segmente) oder nicht ausführbar (Daten-Segmente) zu kennzeichnen. Wird versucht, Code an einer Adresse in einem als nicht ausführbar markierten Speichersegment auszuführen, löst die CPU einen Hardware-Interrupt aus, welcher vom Betriebssystem abgefangen wird. Das betreffende Programm wird daraufhin abgebrochen.

Heutige Betriebssysteme nutzen zwar ebenfalls den Protected Mode, jedoch verwenden sie ein sogenanntes „flaches Speichermodell“, in dem sämtliche Segmente den gleichen linearen Speicherbereich überdecken. Der segmentbasierte Speicherschutz ist damit ausgehebelt, eine Trennung zwischen Code- und Datenbereichen ist nicht mehr vorhanden.

Die Technik wurde daher vom Chiphersteller AMD mit dem Prozessor Athlon 64 unter dem Namen NX-Bit für den x86-Markt eingeführt. Die Technik wird von AMD als Enhanced Virus Protection (EVP) vermarktet. Auch Intel verwendet ab den Itanium-Prozessoren und ab den Pentium-4- und Pentium-M- sowie den Core-Modellen diese Technik, allerdings unter dem Namen XD-Bit (Execute Disable). Auch Transmeta und VIA/Centaur boten CPUs mit NX-Bit an.

Funktionsweise

64-Bit-Eintrag im Seitenverzeichnis (Page directory entry)
Bits:	63	62 … 52	51 … 32
Inhalt:	NX	reserved	Bit 51 … 32 der Basisadresse
Bits:	31 … 12			11 … 9	8	7	6	5	4	3	2	1	0
Inhalt:	Bit 31 … 12 der Basisadresse			AVL	ig	0	ig	A	PCD	PWT	U/S	R/W	P

Heutige Betriebssysteme verlassen sich beim Speicherschutz ausschließlich auf seitenbasiertes Speichermanagement. Dieses gestattet bei der IA32-Architektur zwar die Unterscheidung zwischen Seiten, die „nur lesbar“ und welchen, die „les- und schreibbar“ sind (siehe Bit 1 („R/W“) im Seitentabelleneintrag), jedoch ist dort keine Unterscheidung zwischen (Daten) „Lesen“ und (Code) „Ausführen“ vorgesehen. AMD hat für das NX-Bit das Bit 63 in den 64-Bit-Seitentabellen und -verzeichnissen verwendet. 64-Bit-Seitentabellen und -verzeichnisse werden nur im 64-Bit-Modus und im 32-Bit-Modus mit aktivierter Physical-Address Extension verwendet.

Das NX-Bit wird vom Betriebssystem, sofern es dieses unterstützt, für den Stack und andere Datenbereiche im Arbeitsspeicher gesetzt, so dass diese nicht mehr ausführbar sind. Versucht ein Programm nun, aufgrund eines Bugs oder einer Infektion mit Schadcode diese so markierten Speicherseiten auszuführen, fängt die CPU dies ab und meldet dies über einen Hardware-Interrupt an das Betriebssystem, welches daraufhin das betroffene Programm beendet.

Durch dieses Vorgehen wird das Von-Neumann-Prinzip, Daten und Programm in einem gemeinsamen Speicher abzulegen, teilweise verletzt. Allerdings wird nur der Ausführung von Code in Datensegmenten (z. B. in einem Stack oder Heap) vorgebeugt. Der Pufferüberlauf an sich wird nicht unterbunden. Wenn dabei ein Sprung in eine Codepage ausgelöst wird, ist die No-Execute-Technik wirkungslos. Des Weiteren lässt sich trotz dieser Technik beliebiger Code beispielsweise durch ein „return into libc“ ausführen.

Betriebssysteme

Windows

Das Betriebssystem Windows von Microsoft unterstützt DEP ab Windows XP SP 2, sofern der jeweilige Prozessor die Möglichkeit bietet. Ab Windows Vista sind die Einstellungen dem Benutzer sichtbar (Systemeigenschaften → Erweitert → Leistung → Einstellungen → Datenausführungsverhinderung). Windows 8 und neuere Windows-Versionen können auf Prozessoren ohne NX-Bit nicht gestartet werden.[2]

Linux

Der Linux-Kernel unterstützt das NX-Bit ab Version 2.6.8, wobei entweder ein 64-Bit-Kernel (x64, x86_64, amd64) oder ein 32-Bit-Kernel für einen Prozessor mit aktiviertem PAE verwendet werden muss.

macOS

Das Betriebssystem für Computer von Apple, macOS (früher „Mac OS X“ und „OS X“), unterstützt das NX-Bit ab Version 10.6 „Snow Leopard.“

CPUs mit NX-Bit

CPUs mit dem NX-Bit-Feature lassen sich per Software an einem gesetzten 11. Bit im Extended Feature Enable Register erkennen. Dieses "model specific register" lässt sich nur von privilegierter Software (Systemsoftware), also beispielsweise vom Betriebssystemkern, auslesen.

AMD

AMD Athlon 64 und Nachfolger
AMD Opteron
AMD Phenom und Nachfolger
AMD Sempron (ab Paris)
AMD Turion 64 und Nachfolger
AMD Ryzen und Nachfolger

Intel

Intel Atom
Intel Celeron (ab Conroe-L-Kern)
Intel Celeron D
Intel Celeron M (ab Dothan-Kern)
Intel Core Solo, Duo und Nachfolger
Intel Pentium 4 (ab Prescott-F/J-Typ)
Intel Pentium D
Intel Pentium Dual-Core
Intel Pentium Extreme Edition
Intel Pentium M (ab Dothan, FSB533 alle Modelle, FSB400 nur Modelle mit CPU-ID 06D8h)
Intel Xeon (ab Pentium D Kern)

Übrige

Weblinks

Implementation von ASLR und NX/XD-Bit im Linux 2.6-Kernel. Linux-Magazin
Verwundbar trotz No Execute. Heise online

Einzelnachweise

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] sdn.microsoft.com

[2] ttps://support.microsoft.com/de-de/help/12660/windows-8-system-requirements


Betriebsmodi	Real Mode • Protected Mode • Virtual 8086 Mode • System Management Mode • Long Mode • Compatibibility Mode
Befehlssatzerweiterungen	PAE ⬝ NX ⬝ AMD64/Intel 64 (x64) ⬝ HTT ⬝ VT-x/AMD-V/VIA VT ⬝ 3DNow! ⬝ MMX ⬝ SSE ⬝ SSE2 ⬝ SSE3 ⬝ SSSE3 ⬝ SSE4 ⬝ SSE4a ⬝ ~~SSE5~~ ⬝ F16C ⬝ AVX ⬝ CLMUL ⬝ AES ⬝ FMA ⬝ TSX ⬝ BMI ⬝ MPX ⬝ SGX