- 0xbadfca11
- 5891
- 0
- 0
- 0
読むのが面倒くさいひとへ
箇条書きで問題まとめ
- SEHOP自体はVista SP1で導入されたがシステム全体でのOn/Offしかできなかった
- アプリ単位でのOn/Offが出来るようになったのは7から。
- 一方EMETは今まで(4.0βまで)アプリ単位のSEHOPにWindowsのそれを使わずにSEHOPを実装していた
- だからXPでも使えた
- 代わりにWindowsのSEHOPでは動くがEMETのSEHOPでは動かないという互換性問題が発生していた
- EMET 4.0のアプリ単位のSEHOPにXPではEMETの実装を、7/8ではWindowsのレジストリを設定してWindowsの実装を使うようになった
- Vistaがハブられた
- なぜかEMET 4.1でWindowsの実装を使うのを止めた。
EMET実装の方のSEHOPがVistaで機能してない。4.0+7/8ではper-processもWindows側の実装を使うようになっているようで、8でDisabledにした時はAppの方も有効にならないようなのでenbugか?
2013-06-18 19:02:03EMET 4.0では極力Windows実装のSEHOPを使うようになったけど(互換性向上のためだろう)今までEMET実装が使われていた場面で漏れが発生してる。 EMET 3.0/4.0 SEHOP Implementation - https://t.co/dmAe6dqy8x
2013-06-19 20:53:52EMET_Conf --set <テストアプリ> +SEHOP をしながらシステム設定を変えつつどちらの実装で引っかかるかのテスト結果
EMET notifierから通知が来ればEMET
VEHで捕捉できればWindows
そのままSEHハンドラが実行出来たら無効
Windows 7でEMET実装が使われるケースがあるけど、レジストリを直接いじらないと起こらない状況なので表には入れてないけど、その状況でもVistaでは有効にならなかった。
2013-06-19 20:56:49以下蛇足
EMETのSystem Status表示間違ってる。 Vista DisableExceptionChainValidation==1(既定値)⇒無効 DECV==0⇒有効 DECV無し⇒有効 7 DECV==1⇒無効 DECV==0⇒有効 DECV無し(既定値)⇒無効 が実挙動
2013-06-18 18:33:08現時点で気づいたEMET 4.0の不具合らしきもの[未検証] ・VistaでAppsのSEHOPが変更できない ・8でMitigationOptionsが存在してないとSystemのSEHOPがDisabled(AlwaysOff)扱いになってAppsのSEHOPが変更できない
2013-06-18 15:36:39AlwaysOn又はDisabled(AlwaysOff)になっている時は変更できないというのは整合性があるように見えるが、その実装を使わずに実現している場合にそのルールを適用するのはどうなんじゃ?
2013-06-18 20:35:23Vista/8/8.1でEMET 4.1のSEHOPが全く機能していないように見える。7では3.xの頃のEMET実装使ってた時と同じ動作してる。4.0がやってたWindowsのSEHOPのOptInを使わなくなってるし先祖返りしてないかこの部分。
2013-11-14 00:00:43EMET 4.1のSEHOPは8で動かなくなったんじゃなくて、DisableExceptionChainValidation値が無し(OptIn表示、7/8/8.1のデフォルト)だと動いて、値が1(OptIn表示)だと動かないって言う禿げ上がりそうな事になってた。7も同じ。
2013-11-22 19:27:57EMET4.1を導入したらChrome上のLastpassとFlashがクラッシュして、SEHOPを無効にしたら直った。その後検索したらこの記事にも同じことが書いてあった。 不具合にイライラ -ChromeとEMETの競合- http://t.co/hpnf80XDjU
2013-11-15 23:38:40chrome.exeにEMET 4.1の All Mitigationsを有効にしていたら、Google Chrome を起動するときにクラッシュするようになった。「SEHOP」Mitigationだけ無効にしたら再現しなくなった。 http://t.co/4CSDDhgmOM
2013-11-18 20:07:35EMET 4.1(on Win7 SP1)でIE10がこける件。ipexploere.exeの登録からSEHOPのチェックを外せばOKだった(そこが穴になるけど)。ieの64bit実行部分にEMET内部で適用外の機能を誤って適用してるのかもしれない、とマニュアルを見て思った。
2013-11-30 07:45:54